Povolení přístupu k oborům názvů Azure Event Hubs prostřednictvím privátních koncových bodů

  • Článek
  • 10 min ke čtení

služba privátního propojení azure umožňuje přístup ke službám azure (například k azure Event Hubs, Azure Storage a Azure Cosmos DB) a hostovaným zákaznickým a partnerským službám azure prostřednictvím privátního koncového bodu ve vaší virtuální síti.

Privátní koncový bod je síťové rozhraní, které se připojuje soukromě a bezpečně ke službě využívající privátní propojení Azure. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě a efektivně ho přinášejí do vaší virtuální sítě. Veškerý provoz do služby se dá směrovat prostřednictvím privátního koncového bodu, takže se nevyžadují žádné brány, zařízení NAT, ExpressRoute, připojení VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure, která poskytuje nejvyšší úroveň členitosti v řízení přístupu.

Další informace najdete v tématu co je privátní propojení Azure?

Důležité body

  • Tato funkce není podporovaná na úrovni Basic .
  • Povolení privátních koncových bodů může ostatním službám Azure zabránit v interakci s Event Hubs. Blokované požadavky zahrnují ty z jiných služeb Azure, od Azure Portal, ze služeb protokolování a metriky atd. V případě výjimky můžete povolit přístup k Event Hubs prostředkům z určitých důvěryhodných služeb i v případě, že jsou povolené soukromé koncové body. Seznam důvěryhodných služeb najdete v tématu důvěryhodné služby.
  • Zadejte alespoň jedno pravidlo IP nebo pravidlo virtuální sítě pro obor názvů, aby bylo možné provozovat pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla IP a virtuální sítě, můžete k oboru názvů přistupovat prostřednictvím veřejného Internetu (pomocí přístupového klíče).

Přidání privátního koncového bodu pomocí Azure Portal

Požadavky

K integraci oboru názvů Event Hubs s privátním propojením Azure budete potřebovat následující entity nebo oprávnění:

  • Event Hubs obor názvů.
  • Virtuální síť Azure.
  • Podsíť ve virtuální síti. Můžete použít výchozí podsíť.
  • Oprávnění vlastníka nebo přispěvatele pro obor názvů i virtuální síť.

Váš privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast pro soukromý koncový bod pomocí portálu, automaticky se vyfiltrují jenom virtuální sítě, které jsou v této oblasti. Váš obor názvů může být v jiné oblasti.

Váš privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Postup

Pokud již máte obor názvů Event Hubs, můžete vytvořit připojení k privátnímu propojení pomocí následujících kroků:

  1. Přihlaste se na Azure Portal.

  2. Na panelu hledání zadejte do pole centra událostí.

  3. V seznamu vyberte obor názvů , do kterého chcete přidat privátní koncový bod.

  4. v nabídce vlevo vyberte položku sítě v části Nastavení .

    Karta sítě – volba vybraných sítí

    Upozornění

    Ve výchozím nastavení je vybraná možnost vybrané sítě . Pokud nezadáte pravidlo brány firewall protokolu IP nebo přidáte virtuální síť, přístup k oboru názvů lze získat prostřednictvím veřejného Internetu (pomocí přístupové klávesy).

  5. V horní části stránky vyberte kartu připojení privátního koncového bodu .

  6. V horní části stránky vyberte tlačítko + soukromý koncový bod .

    Stránka síť – karta připojení privátního koncového bodu – přidat odkaz na privátní koncový bod

  7. Na stránce základy proveďte tyto kroky:

    1. Vyberte předplatné Azure , ve kterém chcete vytvořit privátní koncový bod.

    2. Vyberte skupinu prostředků pro prostředek privátního koncového bodu.

    3. Zadejte název privátního koncového bodu.

    4. Vyberte oblast pro soukromý koncový bod. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než prostředek privátního propojení, ke kterému se připojujete.

    5. V dolní části stránky vyberte tlačítko Další: >prostředku .

      Stránka pro vytvoření privátního koncového bodu – základy

  8. Na stránce prostředek použijte následující postup:

    1. pokud pro metodu připojení vyberete v adresáři do prostředku Azure Připojení, postupujte takto:

      1. Vyberte předplatné Azure , ve kterém existuje Event Hubs obor názvů .

      2. Jako typ prostředku vyberte Microsoft. EventHub/obory názvů pro typ prostředku.

      3. V části prostředek vyberte obor názvů Event Hubs v rozevíracím seznamu.

      4. Potvrďte, že je cílový podprostředek nastavený na obor názvů.

      5. V dolní části stránky vyberte tlačítko Další: >konfigurace .

        Vytvoření stránky privátního koncového bodu – prostředek

    2. pokud vyberete Připojení prostředku Azure podle ID prostředku nebo aliasu, postupujte takto:

      1. Zadejte ID prostředku nebo alias. Může to být ID prostředku nebo alias, který s vámi někdo sdílí. Nejjednodušší způsob, jak získat ID prostředku, je přejít na obor názvů Event Hubs v Azure Portal a zkopírovat část identifikátoru URI od /subscriptions/ . Příklad najdete na následujícím obrázku.

      2. Pro cílový dílčí prostředek zadejte obor názvů. Je to typ dílčího prostředku, ke kterému má privátní koncový bod přístup.

      3. volitelné Zadejte zprávu požadavku. Vlastník prostředku se zobrazí tato zpráva během správy připojení privátního koncového bodu.

      4. Potom v dolní části stránky vyberte tlačítko Další: >konfigurace .

        vytvoření privátního koncového bodu – Připojení pomocí ID prostředku

  9. Na stránce Konfigurace vyberte podsíť ve virtuální síti, do které chcete nasadit privátní koncový bod.

    1. Vyberte virtuální síť. V rozevíracím seznamu jsou uvedené jenom virtuální sítě v aktuálně vybraném předplatném a umístění.

    2. Vyberte podsíť ve virtuální síti, kterou jste vybrali.

    3. V dolní části stránky vyberte tlačítko Další: značky > .

      Vytvořit privátní koncový bod – konfigurační stránka

  10. Na stránce značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu. Potom v dolní části stránky vyberte tlačítko Revize + vytvořit .

  11. Na stránce zkontrolovat + vytvořit Zkontrolujte všechna nastavení a výběrem možnosti vytvořit vytvořte privátní koncový bod.

    Vytvoření privátního koncového bodu – kontrola a vytvoření stránky

  12. Ověřte, že se v seznamu koncových bodů zobrazuje připojení privátního koncového bodu, které jste vytvořili. V tomto příkladu je soukromý koncový bod automaticky schválen, protože jste se připojili k prostředku Azure v adresáři a máte dostatečná oprávnění.

    Privátní koncový bod byl vytvořen.

důvěryhodné služby Microsoft

pokud povolíte možnost povolit důvěryhodným služby Microsoft obejít toto nastavení brány firewall , budou těmto službám udělen přístup k prostředkům Event Hubs.

Důvěryhodná služba Podporované scénáře použití
Azure Event Grid Povoluje Azure Event Grid odesílat události do Center událostí ve vašem oboru názvů Event Hubs. Je také nutné provést následující kroky:
  • Povolit identitu přiřazenou systémem pro téma nebo doménu
  • Přidejte identitu do role odesilatele dat Azure Event Hubs v oboru názvů Event Hubs
  • Pak nakonfigurujte odběr událostí, který používá centrum událostí jako koncový bod pro použití identity přiřazené systémem.

Další informace najdete v tématu doručování událostí se spravovanou identitou .
Azure Monitor (Nastavení pro diagnostiku a skupiny akcí) Umožňuje Azure Monitor odesílat diagnostické informace a oznámení výstrah do Center událostí ve vašem oboru názvů Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí.
Azure Stream Analytics Umožňuje Azure Stream Analytics úlohy číst data z (vstup) nebo zapisovat data do (výstupních) centra událostí ve vašem oboru názvů Event Hubs.

Důležité: Stream Analytics úloha by měla být nakonfigurovaná tak, aby pro přístup k centru událostí používala spravovanou identitu . Další informace najdete v tématu použití spravovaných identit pro přístup k centru událostí z Azure Stream Analytics úlohy (Preview).

Azure IoT Hub Povoluje IoT Hub odesílat zprávy do Center událostí v oboru názvů centra událostí. Je také nutné provést následující kroky:
  • Povolení identity přiřazené systémem pro Centrum IoT
  • Přidejte identitu do role odesilatele dat Azure Event Hubs v oboru názvů Event Hubs.
  • Pak nakonfigurujte IoT Hub, který používá centrum událostí jako vlastní koncový bod pro použití ověřování založeného na identitách.
Azure API Management

Služba API Management umožňuje odesílat události do centra událostí ve vašem oboru názvů Event Hubs.
Azure IoT Central

Umožňuje IoT Central exportovat data do Center událostí v oboru názvů centra událostí. Je také nutné provést následující kroky:

  • Povolte pro vaši aplikaci IoT Central identitu přiřazenou systémem.
  • Přidejte identitu do role odesilatele dat Azure Event Hubs v oboru názvů Event Hubs.
  • Pak nakonfigurujte Event Hubs exportovat cíl ve vaší aplikaci IoT Central tak, aby používal ověřování na základě identity.

chcete-li, aby důvěryhodné služby měly přístup k vašemu oboru názvů, přepněte na kartu sítě brány firewall a virtuální sítě a vyberte možnost ano , pokud chcete, aby důvěryhodné služby Microsoft tuto bránu firewall vynechal?.

Přidání privátního koncového bodu pomocí prostředí PowerShell

následující příklad ukazuje, jak použít Azure PowerShell k vytvoření připojení privátního koncového bodu. Nevytváří pro vás vyhrazený cluster. Pokud chcete vytvořit vyhrazený cluster Event Hubs, postupujte podle kroků v tomto článku .

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Konfigurace privátní zóny DNS

Vytvořte privátní zónu DNS pro Event Hubs doménu a vytvořte propojení přidružení s virtuální sítí:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Správa privátních koncových bodů pomocí Azure Portal

Při vytváření privátního koncového bodu musí být připojení schváleno. Pokud je prostředek, pro který vytváříte privátní koncový bod, ve vašem adresáři, můžete žádost o připojení schválit, pokud máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí žádost o připojení.

Existují čtyři stavy zřizování:

Akce služby Stav privátního koncového bodu příjemce služby Description
Žádná Čekající Připojení je vytvořeno ručně a čeká na schválení vlastníkem prostředku privátního odkazu.
Schválení Schválené Připojení bylo automaticky nebo ručně schváleno a je připraveno k použití.
Odmítnout Zamítnuto Vlastník prostředku služby Private Link připojení zamítl.
Odebrat Odpojeno Vlastník prostředku privátního propojení odebral připojení, privátní koncový bod se změní na informativní a měl by se odstranit, aby bylo možné ho vyčistit.

Schválení, odmítnutí nebo odebrání připojení privátního koncového bodu

  1. Přihlaste se k webu Azure Portal.
  2. Na panelu hledání zadejte event hubs.
  3. Vyberte obor názvů, který chcete spravovat.
  4. Vyberte kartu Sítě.
  5. V závislosti na operaci, kterou chcete schválit, odmítnout nebo odebrat, přejděte do odpovídající části níže.

Schválení připojení privátního koncového bodu

  1. Pokud nějaká připojení čekají na vyřízení, ve stavu zřizování se zobrazí připojení čekající na vyřízení.

  2. Vyberte privátní koncový bod, který chcete schválit.

  3. Vyberte tlačítko Schválit.

    Schválení privátního koncového bodu

  4. Na stránce Schválit připojení přidejte komentář (volitelné) a vyberte Ano. Pokud vyberete Ne, nic se nestane.

  5. V seznamu by se měl stav připojení privátního koncového bodu změnit na Approved (Schválené).

Odmítnutí připojení privátního koncového bodu

  1. Pokud chcete zamítnout nějaká připojení privátních koncových bodů, ať už se jedná o nevyřízenou žádost nebo existující připojení, vyberte připojení a klikněte na tlačítko Zamítnout.

    Odmítnutí privátního koncového bodu

  2. Na stránce Odmítnout připojení zadejte komentář (volitelné) a vyberte Ano. Pokud vyberete Ne, nic se nestane.

  3. V seznamu byste měli vidět stav připojení privátního koncového bodu změněný na Zamítnuto.

Odebrání připojení privátního koncového bodu

  1. Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat.
  2. Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.
  3. Měli byste vidět, že se stav změnil na Odpojeno. Pak uvidíte, že koncový bod ze seznamu zmizí.

Měli byste ověřit, že se prostředky v rámci virtuální sítě privátního koncového bodu připojují k vašemu oboru názvů Event Hubs přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v tématu Vytvoření virtuálního Windows počítače v Azure Portal

Na kartě Sítě:

  1. Zadejte virtuální síť a podsíť . Je nutné vybrat Virtual Network, na který jste nasadili privátní koncový bod.
  2. Zadejte prostředek veřejné IP adresy.
  3. Pro skupinu zabezpečení sítě nic vyberte Žádné.
  4. U možnosti Vyrovnávání zatížení vyberte Ne.

Připojení k virtuálnímu počítače, otevřete příkazový řádek a spusťte následující příkaz:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Měl by se zobrazit výsledek, který vypadá takto.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Omezení a aspekty návrhu

Ceny: Informace o cenách najdete na Azure Private Link cen.

Omezení: Tato funkce je dostupná ve všech veřejných oblastech Azure.

Maximální počet privátních koncových bodů na Event Hubs obor názvů: 120.

Další informace najdete v tématu Azure Private Link služby: Omezení

Další kroky