Gewähren des Zugriffs auf Azure Service Bus-Namespaces über private Endpunkte

Mit Azure Private Link können Sie über einen privaten Endpunkt in Ihrem virtuellen Netzwerk auf Azure-Dienste wie Azure Service Bus, Azure Storage und Azure Cosmos DB sowie auf in Azure gehostete Kunden-/Partnerdienste zugreifen.

Ein privater Endpunkt ist eine Netzwerkschnittstelle, die Sie privat und sicher mit einem von Azure Private Link betriebenen Dienst verbindet. Der private Endpunkt verwendet eine private IP-Adresse aus Ihrem virtuellen Netzwerk und bindet den Dienst dadurch in Ihr virtuelles Netzwerk ein. Der gesamte für den Dienst bestimmte Datenverkehr kann über den privaten Endpunkt geleitet werden. Es sind also keine Gateways, NAT-Geräte, ExpressRoute-/VPN-Verbindungen oder öffentlichen IP-Adressen erforderlich. Der Datenverkehr zwischen Ihrem virtuellen Netzwerk und dem Dienst wird über das Microsoft-Backbone-Netzwerk übertragen und dadurch vom öffentlichen Internet isoliert. Sie können eine Verbindung mit einer Instanz einer Azure-Ressource herstellen, was ein Höchstmaß an Granularität bei der Zugriffssteuerung ermöglicht.

Weitere Informationen finden Sie unter Was ist Azure Private Link?.

Wichtige Punkte

• Dieses Feature wird mit dem Tarif Premium von Azure Service Bus unterstützt. Weitere Informationen zum Premium-Tarif finden Sie im Artikel Service Bus Premium- und Standard-Tarif für Messaging.

• Durch das Implementieren privater Endpunkte kann verhindert werden, dass andere Azure-Dienste mit Service Bus interagieren. Als Ausnahme können Sie bestimmten vertrauenswürdigen Diensten selbst dann den Zugriff auf Service Bus-Ressourcen erlauben, wenn private Endpunkte aktiviert sind. Eine Liste der vertrauenswürdigen Dienste finden Sie unter Vertrauenswürdige Dienste.

  Die folgenden Microsoft-Dienste müssen sich in einem virtuellen Netzwerk befinden:

  • Azure App Service
  • Azure-Funktionen

• Geben Sie mindestens eine IP-Regel oder VNET-Regel für den Namespace an, um nur Datenverkehr von den angegebenen IP-Adressen oder dem Subnetz eines virtuellen Netzwerks zuzulassen. Wenn keine IP- und VNET-Regeln vorliegen, kann (mithilfe des Zugriffsschlüssels) über das öffentliche Internet auf den Namespace zugegriffen werden.

Hinzufügen eines privaten Endpunkts über das Azure-Portal

Voraussetzungen

Um einen Service Bus-Namespace in Azure Private Link zu integrieren, benötigen Sie die folgenden Entitäten oder Berechtigungen:

• Einen Service Bus-Namespace.
• Ein virtuelles Azure-Netzwerk
• Ein Subnetz in dem virtuellen Netzwerk Sie können das Standardsubnetz verwenden.
• Berechtigungen vom Typ „Besitzer“ oder „Mitwirkender“ für den Service Bus-Namespace und für das virtuelle Netzwerk.

Der private Endpunkt und das virtuelle Netzwerk müssen sich in der gleichen Region befinden. Wenn Sie über das Portal eine Region für den privaten Endpunkt auswählen, wird automatisch nach virtuellen Netzwerken in dieser Region gefiltert. Der Service Bus-Namespace kann sich in einer anderen Region befinden. Außerdem verwendet der private Endpunkt eine private IP-Adresse in Ihrem virtuellen Netzwerk.

Konfigurieren von privatem Zugriff beim Erstellen eines Namespace

Beim Erstellen eines Namespace können Sie entweder nur öffentlichen Zugriff (aus allen Netzwerken) oder nur privaten Zugriff (nur über private Endpunkte) auf den Namespace zulassen.

Wenn Sie auf der Seite Netzwerk des Assistenten zum Erstellen von Namespaces die Option Privater Zugriff auswählen, können Sie auf der Seite einen privaten Endpunkt hinzufügen, indem Sie die Schaltfläche + Privater Endpunkt auswählen. Ausführliche Schritte zum Hinzufügen eines privaten Endpunkts finden Sie im nächsten Abschnitt.

Konfigurieren von privatem Zugriff für einen vorhandenen Namespace

Wenn Sie bereits über einen Namespace verfügen, können Sie wie folgt einen privaten Endpunkt erstellen:

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie auf der Suchleiste den Suchbegriff Service Bus ein.

3. Wählen Sie in der Liste den Namespace aus, dem Sie einen privaten Endpunkt hinzufügen möchten.

4. Wählen Sie im Menü links unter Einstellungen die Option Netzwerk aus.

   Hinweis

   Die Registerkarte Netzwerk wird nur für Namespaces vom Typ Premium angezeigt.

5. Wählen Sie auf der Seite Netzwerk unter Öffentlicher Netzwerkzugriff die Option Deaktiviert aus, wenn auf den Namespace nur über private Endpunkte zugegriffen werden soll.

6. Wählen Sie unter Zulassen, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen die Option Ja aus, wenn Sie zulassen möchten, dass vertrauenswürdige Microsoft-Dienste diese Firewall umgehen.

   

7. Um den Zugriff auf den Namespace über private Endpunkte zuzulassen, klicken Sie oben auf der Seite auf die Registerkarte Private Endpunktverbindungen.

8. Wählen Sie im oberen Seitenbereich die Schaltfläche + Privater Endpunkt aus.

   

9. Führen Sie auf der Seite Grundlagen die folgenden Schritte aus:

   1. Wählen Sie das Azure-Abonnement aus, in dem Sie den privaten Endpunkt erstellen möchten.

   2. Wählen Sie die Ressourcengruppe für die private Endpunktressource aus.

   3. Geben Sie einen Namen für den privaten Endpunkt ein.

   4. Geben Sie einen Namen für die Netzwerkschnittstelle ein.

   5. Wählen Sie eine Region für den privaten Endpunkt aus. Ihr privater Endpunkt muss sich in der gleichen Region befinden wie Ihr virtuelles Netzwerk, kann aber in einer anderen Region als die Private Link-Ressource enthalten sein, mit der Sie eine Verbindung herstellen.

   6. Wählen Sie unten auf der Seite die Schaltfläche Weiter: Ressource aus.

      

10. Überprüfen Sie auf der Seite Ressource die Einstellungen, und wählen Sie dann Weiter: Virtuelles Netzwerk unten auf der Seite aus.

    

11. Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz in einem virtuellen Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.

    1. Wählen Sie ein virtuelles Netzwerk aus. Nur virtuelle Netzwerke im aktuell ausgewählten Abonnement und am aktuell ausgewählten Standort werden in der Dropdownliste aufgeführt.
    2. Wählen Sie ein Subnetz innerhalb des ausgewählten virtuellen Netzwerks aus.
    3. Beachten Sie, dass die Netzwerkrichtlinie für private Endpunkte deaktiviert ist. Wenn Sie sie aktivieren möchten, wählen Sie Bearbeiten aus, aktualisieren Sie die Einstellung, und wählen Sie dann Speichern aus.
    4. Für Konfiguration der privaten IP-Adresse ist standardmäßig die Option IP-Adresse dynamisch zuweisen ausgewählt. Wenn Sie eine statische IP-Adresse zuweisen möchten, wählen Sie IP-Adresse statisch zuweisen aus.
    5. Wählen Sie als Anwendungssicherheitsgruppe eine vorhandene Anwendungssicherheitsgruppe aus, oder erstellen Sie eine Anwendungssicherheitsgruppe, die dem privaten Endpunkt zugeordnet werden soll.
    6. Wählen Sie die Schaltfläche Weiter: DNS> unten auf der Seite aus.

    

12. Wählen Sie auf der Seite DNS aus, ob der private Endpunkt in eine private DNS-Zone integriert werden soll, und wählen Sie dann Weiter: Tags aus.

    

13. Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten. Wählen Sie dann am unteren Rand der Seite die Schaltfläche Überprüfen und erstellen aus.

14. Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie dann Erstellen aus, um den privaten Endpunkt zu erstellen.

    

15. Vergewissern Sie sich, dass der private Endpunkt erstellt wurde. Wenn Sie der Besitzer der Ressource sind und unter Verbindungsmethode die Option Verbindung mit einer Azure-Ressource in meinem Verzeichnis herstellen ausgewählt haben, sollte die Endpunktverbindung den Status Automatisch genehmigt haben. Wenn sie sich im Status Ausstehend befindet, lesen Sie den Abschnitt Verwalten eines privaten Endpunkts mit dem Azure-Portal.

    

Vertrauenswürdige Microsoft-Dienste

Wenn Sie die Einstellung Vertrauenswürdigen Microsoft-Diensten die Umgehung dieser Firewall erlauben aktivieren, wird den folgenden Diensten Zugriff auf Ihre Service Bus-Ressourcen gewährt.

Vertrauenswürdiger Dienst	Unterstützte Verwendungsszenarien
Azure Event Grid	Ermöglicht Azure Event Grid das Senden von Ereignissen an Warteschlangen oder Themen in Ihrem Service Bus-Namespace. Sie müssen außerdem die folgenden Schritte ausführen: Aktivieren der vom System zugewiesenen Identität für ein Thema oder eine Domäne Hinzufügen der Identität der Rolle „Azure Service Bus-Datenabsender“ für den Service Bus-Namespace Konfigurieren Sie dann das Ereignisabonnement, das eine Service Bus-Warteschlange oder ein Thema als Endpunkt verwendet, um die vom System zugewiesene Identität zu verwenden. Weitere Informationen finden Sie unter Ereignisübermittlung mit einer verwalteten Identität.
Azure Stream Analytics	Ermöglicht einem Azure Stream Analytics-Auftrag das Ausgeben von Daten in Service Bus-Warteschlangen für Themen. Wichtig: Der Stream Analytics-Auftrag sollte so konfiguriert werden, dass er eine verwaltete Identität für den Zugriff auf den Service Bus-Namespace verwendet. Fügen Sie der Rolle Azure Service Bus-Datensender für den Service Bus-Namespace die Identität hinzu.
Azure IoT Hub	Ermöglicht einem IoT Hub das Senden von Nachrichten an Warteschlangen oder Themen in Ihrem Service Bus-Namespace. Sie müssen außerdem die folgenden Schritte ausführen: Aktivieren der system- oder benutzerseitig zugewiesenen verwalteten Identität für Ihren IoT-Hub. Hinzufügen der Identität zur Rolle Azure Service Bus-Datensender für den Service Bus-Namespace. Konfigurieren der IoT Hub-Instanz, die eine Service Bus-Entität als Endpunkt für identitätsbasierte Authentifizierung verwendet.
Azure API Management	Der API Management-Dienst ermöglicht Ihnen das Senden von Nachrichten an eine Service Bus-Warteschlange bzw. ein -Thema im Service Bus-Namespace. Sie können benutzerdefinierte Workflows auslösen, indem Sie Nachrichten an Ihre Service Bus-Warteschlange bzw- Ihr -Thema senden, wenn eine API mithilfe der send-request-Richtlinie aufgerufen wird. Sie können auch eine Service Bus Warteschlange bzw. ein Thema auch als Back-End in einer API behandeln. Eine Beispielrichtlinie finden Sie unter Authentifizieren mithilfe einer verwalteten Identität für den Zugriff auf eine Service Bus-Warteschlange oder ein -Thema. Sie müssen außerdem die folgenden Schritte ausführen: Aktivieren einer vom System zugewiesenen Identität für die API Management-Instanz. Anleitungen dazu finden Sie unter Verwenden von verwalteten Identitäten in Azure API Management. Hinzufügen der Identität der Rolle Azure Service Bus-Datensender für den Service Bus-Namespace
Azure IoT Central	Ermöglicht IoT Central das Exportieren von Daten in Service Bus-Warteschlangen oder -Themen in Ihrem Service Bus-Namespace. Sie müssen außerdem die folgenden Schritte ausführen: Aktivieren der systemseitig zugewiesenen Identität für Ihre IoT Central-Anwendung Fügen Sie der Rolle Azure Service Bus-Datensender für den Service Bus-Namespace die Identität hinzu. Konfigurieren Sie dann das Service Bus-Exportziel in Ihrer IoT Central-Anwendung, um die identitätsbasierte Authentifizierung zu verwenden.
Azure Digital Twins	Ermöglicht Azure Digital Twins das Ausgeben von Daten an Service Bus-Themen in Ihrem Service Bus-Namespace. Sie müssen außerdem die folgenden Schritte ausführen: Aktivieren Sie die systemseitig zugewiesene Identität für Ihre Azure Digital Twins-Instanz. Fügen Sie der Rolle Azure Service Bus-Datensender für den Service Bus-Namespace die Identität hinzu. Konfigurieren Sie dann einen Azure Digital Twins-Endpunkt oder eine Azure Digital Twins-Datenverlaufsverbindung, welche die systemseitig zugewiesene Identität zur Authentifizierung verwendet. Weitere Informationen zum Konfigurieren von Endpunkten und Ereignisrouten zu Service Bus-Ressourcen von Azure Digital Twins finden Sie unter Routen von Azure Digital Twins-Ereignissen und Erstellen von Endpunkten in Azure Digital Twins.
Azure Monitor (Diagnoseeinstellungen und Aktionsgruppen)	Ermöglicht Azure Monitor das Senden von Diagnoseinformationen und Warnungsbenachrichtigungen an Service Bus in Ihrem Service Bus-Namespace. Azure Monitor kann Daten aus dem Service Bus-Namespace lesen und in diesen schreiben.
Azure Synapse	Ermöglicht Azure Synapse, mithilfe der verwalteten Identität des Synapse-Arbeitsbereichs eine Verbindung mit Service Bus herzustellen. Fügen Sie der Identität im Service Bus-Namespace die Rolle „Azure Service Bus-Datensender“, „Azure Service Bus-Datenempfänger“ oder „Azure Service Bus-Datenbesitzer“ hinzu.

Die anderen vertrauenswürdigen Dienste für Azure Service Bus finden Sie unten:

• Azure-Daten-Explorer
• Azure Health Data Services
• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Um vertrauenswürdigen Diensten den Zugriff auf Ihren Namespace zu erlauben, wechseln Sie zur Registerkarte Öffentlicher Zugriff auf der Seite Netzwerk und wählen Sie Ja für Vertrauenswürdigen Microsoft-Diensten das Umgehen dieser Firewall erlauben? aus.

Hinzufügen eines privaten Endpunkts mit PowerShell

Im folgenden Beispiel wird gezeigt, wie Azure PowerShell verwendet wird, um eine private Endpunktverbindung mit einem Service Bus-Namespace herzustellen.

Der private Endpunkt und das virtuelle Netzwerk müssen sich in der gleichen Region befinden. Der Service Bus-Namespace kann sich in einer anderen Region befinden. Außerdem verwendet der private Endpunkt eine private IP-Adresse in Ihrem virtuellen Netzwerk.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Verwalten eines privaten Endpunkts mit dem Azure-Portal

Wenn Sie einen privaten Endpunkt erstellen, muss die Verbindung genehmigt werden. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt hat.

Es gibt vier Möglichkeiten für den Bereitstellungsstatus:

Dienstaktion	Zustand des privaten Endpunkts des Dienstconsumers	BESCHREIBUNG
Keine	Ausstehend	Die Verbindung wurde manuell erstellt, und die Genehmigung des Besitzers der Private Link-Ressource steht aus.
Genehmigen	Genehmigt	Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit.
Reject	Rejected (Abgelehnt)	Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt.
Remove (Entfernen)	Getrennt	Die Verbindung wurde vom Besitzer der Private Link-Ressource entfernt, der private Endpunkt wird informativ und sollte zur Bereinigung gelöscht werden.

Genehmigt die Verbindung eines privaten Endpunkts, lehnt sie ab oder entfernt sie.

1. Melden Sie sich beim Azure-Portal an.
2. Geben Sie auf der Suchleiste den Suchbegriff Service Bus ein.
3. Wählen Sie den Namespace aus, den Sie verwalten möchten.
4. Wählen Sie die Registerkarte Netzwerk aus.
5. Weitere Informationen finden Sie im entsprechenden Abschnitt, je nachdem, welchen Vorgang Sie durchführen möchten: Genehmigen, Ablehnen oder Entfernen.

Genehmigen einer Verbindung mit einem privaten Endpunkt

1. Sollten ausstehende Verbindungen vorhanden sein, wird in der Liste eine Verbindung mit dem Bereitstellungsstatus Ausstehend angezeigt.

2. Wählen Sie den privaten Endpunkt aus, den Sie genehmigen möchten.

3. Wählen Sie die Schaltfläche Genehmigen aus.

   

4. Geben Sie auf der Seite Verbindung genehmigen einen optionalen Kommentar ein, und wählen Sie dann Ja aus. Wenn Sie Nein auswählen, geschieht nichts.

   

5. Der Status der Verbindung sollte in der Liste in Genehmigt geändert werden.

   

Ablehnen einer Verbindung mit einem privaten Endpunkt

1. Falls Sie Verbindungen mit einem privaten Endpunkt ablehnen möchten, wählen Sie die gewünschte Endpunktverbindung und anschließend die Schaltfläche Ablehnen aus. Das funktioniert sowohl für ausstehende Anforderungen als auch für bereits vorhandene Verbindungen, die vorher genehmigt wurden.

   

2. Geben Sie auf der Seite Verbindung ablehnen einen optionalen Kommentar ein, und wählen Sie dann Ja aus. Wenn Sie Nein auswählen, geschieht nichts.

   

3. Der Status der Verbindung sollte in der Liste in Abgelehnt geändert werden.

   

Entfernen einer Verbindung mit einem privaten Endpunkt

1. Um eine Verbindung mit einem privaten Endpunkt zu entfernen, wählen Sie sie in der Liste aus, und wählen Sie Entfernen auf der Symbolleiste aus.

   

2. Wählen Sie auf der Seite Verbindung löschenJa aus, um das Löschen des privaten Endpunkts zu bestätigen. Wenn Sie Nein auswählen, geschieht nichts.

   

3. Der Status sollte in Getrennt geändert werden. Anschließend wird der Endpunkt nicht mehr in der Liste angezeigt.

Überprüfen, ob die Private Link-Verbindung funktioniert

Vergewissern Sie sich, dass Ressourcen innerhalb des virtuellen Netzwerks, in dem sich auch der private Endpunkt befindet, mit Ihrem Service Bus-Namespace eine Verbindung über eine private IP-Adresse herstellen, und dass die Integration in die private DNS-Zone korrekt ist.

Erstellen Sie zunächst einen virtuellen Computer. Eine entsprechende Anleitung finden Sie unter Schnellstart: Erstellen eines virtuellen Windows-Computers im Azure-Portal.

Gehen Sie auf der Registerkarte Netzwerk wie folgt vor:

1. Geben Sie ein virtuelles Netzwerk und ein Subnetz an. Sie müssen das virtuelle Netzwerk auswählen, in dem Sie den privaten Endpunkt bereitgestellt haben.
2. Geben Sie eine öffentliche IP-Ressource an.
3. Wählen Sie für NIC-Netzwerksicherheitsgruppe die Option Keine aus.
4. Wählen Sie für den LastenausgleichNein aus.

Stellen Sie eine Verbindung mit der VM her, öffnen Sie die Befehlszeile, und führen Sie den folgenden Befehl aus:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Das Ergebnis sollte in etwa wie folgt aussehen.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Einschränkungen und Entwurfsaspekte

• Preisinformationen finden Sie unter Azure Private Link – Preise.
• Dieses Feature steht in allen öffentlichen Azure-Regionen zur Verfügung.
• Maximal zulässige Anzahl privater Endpunkte pro Service Bus-Namespace: 120.
• Der Datenverkehr wird auf Anwendungsebene blockiert, nicht auf TCP-Ebene. Daher sehen Sie, dass TCP-Verbindungen oder nslookup-Vorgänge für den öffentlichen Endpunkt erfolgreich sind, obwohl der öffentliche Zugriff deaktiviert ist.

Weitere Informationen finden Sie unter Was ist der Azure Private Link-Dienst? – Einschränkungen.

Nächste Schritte

• Weitere Informationen zu Azure Private Link.
• Weitere Informationen zu Azure Service Bus.