Azure Event Hubs-névterek hozzáférésének engedélyezése adott virtuális hálózatokról

Az Event Hubs és a virtuális hálózat szolgáltatásvégpontjainak integrálása biztonságos hozzáférést biztosít az üzenetkezelési képességekhez olyan számítási feladatokból, mint a virtuális hálózatokhoz kötött virtuális gépek, és mindkét oldalon biztonságossá válik a hálózati forgalom útvonala.

Ha úgy van konfigurálva, hogy legalább egy virtuális hálózati alhálózati szolgáltatásvégponthoz legyen kötve, a megfelelő Event Hubs-névtér már nem fogadja el a forgalmat bárhonnan, csak a virtuális hálózatok engedélyezett alhálózataiból. A virtuális hálózat szempontjából az Event Hubs-névtér szolgáltatásvégponthoz való kötése egy elkülönített hálózati alagutat konfigurál a virtuális hálózati alhálózattól az üzenetkezelési szolgáltatásig.

Az eredmény egy privát és elszigetelt kapcsolat az alhálózathoz kötött számítási feladatok és a megfelelő Event Hubs-névtér között, annak ellenére, hogy az üzenetkezelési szolgáltatás végpontjának megfigyelhető hálózati címe nyilvános IP-tartományban van. Ez a viselkedés kivételt képez. A szolgáltatásvégpont engedélyezése alapértelmezés szerint engedélyezi a denyall virtuális hálózathoz társított IP-tűzfalon lévő szabályt. Adott IP-címeket adhat hozzá az IP-tűzfalhoz az Event Hubs nyilvános végponthoz való hozzáférés engedélyezéséhez.

Fontos tudnivalók

  • Ez a funkció az alapszinten nem támogatott.
  • Az Event Hubs-névtér virtuális hálózatainak engedélyezése alapértelmezés szerint blokkolja a bejövő kéréseket, kivéve, ha a kérések engedélyezett virtuális hálózatokból működő szolgáltatásból származnak. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, az Azure Portalról, a naplózási és metrikaria-szolgáltatásokból stb. származó kérések. Kivételként engedélyezheti az Event Hubs-erőforrások elérését bizonyos megbízható szolgáltatásokból , még akkor is, ha a virtuális hálózatok engedélyezve vannak. A megbízható szolgáltatások listáját a Megbízható szolgáltatások című témakörben találja.
  • Adjon meg legalább egy IP-szabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat. Ha nincsenek IP- és virtuális hálózati szabályok, a névtér a nyilvános interneten keresztül (a hozzáférési kulcs használatával) érhető el.

A VNet-integráció által engedélyezett speciális biztonsági forgatókönyvek

Azok a megoldások, amelyek szigorú és térbeli biztonságot igényelnek, és ahol a virtuális hálózati alhálózatok biztosítják a szegmenses szolgáltatások szegmentálását, továbbra is szükség van az ezekben a rekeszekben található szolgáltatások közötti kommunikációs útvonalakra.

A rekeszek közötti bármely közvetlen IP-útvonal, beleértve a TCP/IP protokollon keresztül https-t szállítókat is, a hálózati réteg biztonsági réseinek kihasználását kockáztatja. Az üzenetkezelési szolgáltatások szigetelt kommunikációs útvonalakat biztosítanak, ahol az üzenetek akár lemezre is írhatók a felek közötti váltás során. A két különálló virtuális hálózatban lévő számítási feladatok, amelyek ugyanahhoz az Event Hubs-példányhoz vannak kötve, üzeneteken keresztül hatékonyan és megbízhatóan kommunikálhatnak, miközben a megfelelő hálózati elkülönítési határ integritása megmarad.

Ez azt jelenti, hogy a biztonsági szempontból érzékeny felhőmegoldások nem csak az Azure iparágvezető megbízható és méretezhető aszinkron üzenetkezelési képességeihez férnek hozzá, hanem mostantól üzenetkezeléssel is létrehozhatnak olyan kommunikációs útvonalakat a biztonságos megoldási rekeszek között, amelyek eredendően biztonságosabbak, mint a társközi kommunikációs móddal elérhetőek, beleértve a HTTPS-t és más TLS-védelemmel ellátott szoftvercsatorna-protokollokat is.

Eseményközpontok kötése virtuális hálózatokhoz

A virtuális hálózati szabályok a tűzfal biztonsági funkciója, amely azt szabályozza, hogy az Azure Event Hubs-névtér elfogad-e kapcsolatokat egy adott virtuális hálózati alhálózatról.

Az Event Hubs-névtér virtuális hálózathoz való kötése kétlépéses folyamat. Először létre kell hoznia egy virtuális hálózati szolgáltatásvégpontot egy virtuális hálózat alhálózatán, és engedélyeznie kell azt a Microsoft.EventHub számára a szolgáltatásvégpont áttekintési cikkének megfelelően. Miután hozzáadta a szolgáltatásvégpontot, az Event Hubs-névteret egy virtuális hálózati szabmánnyal köti hozzá.

A virtuális hálózati szabály az Event Hubs-névtér és egy virtuális hálózati alhálózat társítása. Bár a szabály létezik, az alhálózathoz kötött összes számítási feladat hozzáférést kap az Event Hubs-névtérhez. Maga az Event Hubs soha nem hoz létre kimenő kapcsolatokat, nem kell hozzáférést szereznie, ezért a szabály engedélyezésével soha nem kap hozzáférést az alhálózathoz.

Use Azure portal

Névtér létrehozásakor engedélyezheti a névtérhez csak nyilvános (minden hálózatból származó) vagy csak privát (csak privát végpontokon keresztüli) hozzáférést. A névtér létrehozása után engedélyezheti a hozzáférést adott IP-címekről vagy adott virtuális hálózatokról (hálózati szolgáltatásvégpontok használatával).

Nyilvános hozzáférés konfigurálása névtér létrehozásakor

A nyilvános hozzáférés engedélyezéséhez válassza a Nyilvános hozzáférés lehetőséget a névtérlétrehozás varázsló Hálózatkezelés lapján.

Screenshot showing the Networking page of the Create namespace wizard with Public access option selected.

A névtér létrehozása után válassza a Service Bus névtérlapjának bal oldali menüjében a Hálózatkezelés lehetőséget. Láthatja, hogy a Minden hálózat beállítás be van jelölve. Kiválaszthatja a Kiválasztott hálózatok lehetőséget, és engedélyezheti a hozzáférést adott IP-címekről vagy adott virtuális hálózatokról. A következő szakasz részletesen ismerteti azokat a hálózatokat, amelyekről a hozzáférés engedélyezve van.

Kijelölt hálózatok konfigurálása meglévő névtérhez

Ez a szakasz bemutatja, hogyan adhat hozzá virtuális hálózati szolgáltatásvégpontot az Azure Portallal. A hozzáférés korlátozásához integrálnia kell az Event Hubs-névtérhez tartozó virtuális hálózati szolgáltatásvégpontot.

  1. Lépjen az Event Hubs-névtérre az Azure Portalon.

  2. Válassza a Bal oldali menü Gépház alatti Hálózatkezelés lehetőséget.

  3. A Hálózatkezelés lapon a nyilvános hálózati hozzáféréshez az alábbi három lehetőség egyikét állíthatja be. Válassza a Kiválasztott hálózatok lehetőséget, ha csak adott virtuális hálózatokról szeretné engedélyezni a hozzáférést.

    A nyilvános hálózati hozzáférési lapon elérhető lehetőségekről az alábbiakban talál további információt:

    • Letiltva. Ez a beállítás letiltja a névtérhez való nyilvános hozzáférést. A névtér csak privát végpontokon keresztül érhető el.

    • Kijelölt hálózatok. Ez a beállítás lehetővé teszi a névtérhez való nyilvános hozzáférést a kiválasztott hálózatok hozzáférési kulcsával.

      Fontos

      Ha a kiválasztott hálózatokat választja, adjon hozzá legalább egy IP-tűzfalszabályt vagy egy virtuális hálózatot, amely hozzáfér a névtérhez. Válassza a Letiltva lehetőséget, ha csak magánvégpontokon szeretné korlátozni a névtérbe irányuló összes forgalmat.

    • Minden hálózat (alapértelmezett). Ez a beállítás egy hozzáférési kulccsal teszi lehetővé az összes hálózat nyilvános elérését. Ha a Minden hálózat lehetőséget választja, az eseményközpont bármilyen IP-címről fogad kapcsolatokat (a hozzáférési kulcs használatával). Ez a beállítás egyenértékű a 0.0.0.0/0 IP-címtartományt elfogadó szabvánnyal.

  4. Ha korlátozni szeretné az adott hálózatokhoz való hozzáférést, válassza a Lap tetején található Kijelölt hálózatok lehetőséget, ha még nincs kijelölve.

  5. A lap Virtuális hálózatok szakaszában válassza a +Meglévő virtuális hálózat hozzáadása* lehetőséget. Ha új virtuális hálózatot szeretne létrehozni, válassza a + Új virtuális hálózat létrehozása lehetőséget.

    Selection of Add existing virtual network menu item.

    Fontos

    Ha a kiválasztott hálózatokat választja, adjon hozzá legalább egy IP-tűzfalszabályt vagy egy virtuális hálózatot, amely hozzáfér a névtérhez. Válassza a Letiltva lehetőséget, ha csak magánvégpontokon szeretné korlátozni a névtérbe irányuló összes forgalmat.

  6. Válassza ki a virtuális hálózatot a virtuális hálózatok listájából, majd válassza ki az alhálózatot. Mielőtt hozzáadja a virtuális hálózatot a listához, engedélyeznie kell a szolgáltatásvégpontot. Ha a szolgáltatásvégpont nincs engedélyezve, a portál kéri annak engedélyezését.

    Image showing the selection of a subnet.

  7. A következő sikeres üzenetnek kell megjelennie, miután az alhálózat szolgáltatásvégpontja engedélyezve van a Microsoft.EventHubon. A hálózat hozzáadásához válassza a lap alján található Hozzáadás lehetőséget.

    Image showing the selection of a subnet and enabling an endpoint.

    Megjegyzés:

    Ha nem tudja engedélyezni a szolgáltatásvégpontot, figyelmen kívül hagyhatja a hiányzó virtuális hálózati szolgáltatásvégpontot a Resource Manager-sablon használatával. Ez a funkció nem érhető el a portálon.

  8. Adja meg, hogy engedélyezi-e a megbízható Microsoft-szolgáltatások a tűzfal megkerülését. Részletekért lásd: Megbízható Microsoft-szolgáltatások.

  9. A beállítások mentéséhez válassza a Mentés az eszköztáron lehetőséget. Várjon néhány percet, amíg a megerősítés megjelenik a portál értesítései között.

    Image showing the saving of virtual network.

    Megjegyzés:

    Az adott IP-címekhez vagy -tartományokhoz való hozzáférés korlátozásához lásd: Hozzáférés engedélyezése adott IP-címekről vagy -tartományokból.

Trusted Microsoft services

Ha engedélyezi, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalbeállítást, az ugyanazon bérlőn belüli alábbi szolgáltatások kapnak hozzáférést az Event Hubs-erőforrásokhoz.

Megbízható szolgáltatás Támogatott használati forgatókönyvek
Azure Event Grid Lehetővé teszi az Azure Event Grid számára, hogy eseményeket küldjön az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:
  • Rendszer által hozzárendelt identitás engedélyezése témakörhöz vagy tartományhoz
  • Identitás hozzáadása az Azure Event Hubs-adatküldő szerepkörhöz az Event Hubs-névtérben
  • Ezután konfigurálja azt az esemény-előfizetést, amely egy eseményközpontot használ végpontként a rendszer által hozzárendelt identitás használatára.

További információ: Eseménykézbesítés felügyelt identitással

Azure Stream Analytics Lehetővé teszi, hogy az Azure Stream Analytics-feladat adatokat olvasson be (bemenetből) vagy adatokat írjon az Event Hubs-névtérben lévő (kimeneti) eseményközpontokba.

Fontos: A Stream Analytics-feladatot úgy kell konfigurálni, hogy felügyelt identitást használjon az eseményközpont eléréséhez. További információ: Felügyelt identitások használata az eseményközpont eléréséhez egy Azure Stream Analytics-feladatból (előzetes verzió).

Azure IoT Hub Lehetővé teszi, hogy az IoT Hub üzeneteket küldjön az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:
  • Rendszer által hozzárendelt identitás engedélyezése az IoT Hubhoz
  • Adja hozzá az identitást az Azure Event Hubs-adatküldő szerepkörhöz az Event Hubs-névtérben.
  • Ezután konfigurálja azt az IoT Hubot, amely egy eseményközpontot használ egyéni végpontként az identitásalapú hitelesítés használatához.
Azure API Management

Az API Management szolgáltatás lehetővé teszi események küldését egy eseményközpontba az Event Hubs-névtérben.

  • Egyéni munkafolyamatokat úgy indíthat el, hogy eseményeket küld az eseményközpontba, amikor egy API-t a küldési kérelem szabályzatával hív meg.
  • Az eseményközpontot háttérrendszerként is kezelheti egy API-ban. Mintaszabályzatért lásd : Hitelesítés felügyelt identitással egy eseményközpont eléréséhez. A következő lépéseket is el kell végeznie:
    1. Engedélyezze a rendszer által hozzárendelt identitást az API Management-példányon. Útmutatásért lásd : Felügyelt identitások használata az Azure API Managementben.
    2. Identitás hozzáadása az Azure Event Hubs-adatküldő szerepkörhöz az Event Hubs-névtérben
Azure Monitor (diagnosztikai Gépház és műveletcsoportok) Lehetővé teszi, hogy az Azure Monitor diagnosztikai információkat és riasztási értesítéseket küldjön az Event Hubs-névtér eseményközpontjainak. Az Azure Monitor képes olvasni az eseményközpontból, és adatokat is írni az eseményközpontba.
Azure Synapse Lehetővé teszi az Azure Synapse számára, hogy a Synapse-munkaterület felügyelt identitásával csatlakozzon az eseményközponthoz. Adja hozzá az Azure Event Hubs adatküldői, fogadói vagy tulajdonosi szerepkörét az Event Hubs-névtér identitásához.
Azure Data Explorer Lehetővé teszi az Azure Data Explorer számára, hogy eseményeket fogadjon az eseményközpontból a fürt felügyelt identitásával. A következő lépéseket kell elvégeznie:  
Azure IoT Central

Lehetővé teszi, hogy az IoT Central adatokat exportáljon az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:

  • Engedélyezze a rendszer által hozzárendelt identitást az IoT Central-alkalmazáshoz.
  • Adja hozzá az identitást az Azure Event Hubs-adatküldő szerepkörhöz az Event Hubs-névtérben.
  • Ezután konfigurálja az Event Hubs exportálási célhelyét az IoT Central-alkalmazásban identitásalapú hitelesítés használatára.
Azure Health Data Services Lehetővé teszi az Healthcare API-k IoT-összekötőjének, hogy az orvosi eszközök adatait az Event Hubs-névtérből betöltse, és adatokat őrizzen meg a konfigurált Fast Healthcare Interoperability Resources (FHIR®) szolgáltatásban. Az IoT-összekötőt úgy kell konfigurálni, hogy felügyelt identitást használjon az eseményközpont eléréséhez. További információ: Ismerkedés az IoT-összekötővel – Azure Healthcare API-k.
Azure Digital Twins Lehetővé teszi, hogy az Azure Digital Twins adatokat adjon ki az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:

  • Engedélyezze a rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz.
  • Adja hozzá az identitást az Azure Event Hubs-adatküldő szerepkörhöz az Event Hubs-névtérben.
  • Ezután konfiguráljon egy Azure Digital Twins-végpontot vagy Azure Digital Twins-adatelőzmény-kapcsolatot, amely a rendszer által hozzárendelt identitást használja a hitelesítéshez. A végpontok és eseményútvonalak Azure Digital Twinsből származó Event Hubs-erőforrásokhoz való konfigurálásáról további információt az Azure Digital Twins eseményeinek átirányítása és végpontok létrehozása az Azure Digital Twinsben című témakörben talál.

Az Azure Event Hubs többi megbízható szolgáltatása az alábbiakban található:

  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview

Resource Manager-sablon használata

Az alábbi Resource Manager-mintasablon egy virtuális hálózati szabályt ad hozzá egy meglévő Event Hubs-névtérhez. A hálózati szabály egy virtuális hálózat alhálózatának azonosítóját adja meg.

Az azonosító a virtuális hálózati alhálózat teljes Resource Manager-elérési útja. Például /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default egy virtuális hálózat alapértelmezett alhálózatához.

Virtuális hálózat vagy tűzfalszabályok hozzáadásakor állítsa a következő értékre defaultActionDeny: .

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "eventhubNamespaceName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Event Hubs namespace"
        }
      },
      "virtualNetworkName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Rule"
        }
      },
      "subnetName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Sub Net"
        }
      },
      "location": {
        "type": "string",
        "metadata": {
          "description": "Location for Namespace"
        }
      }
    },
    "variables": {
      "namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
      "subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
    },
    "resources": [
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[parameters('eventhubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Standard",
          "tier": "Standard"
        },
        "properties": { }
      },
      {
        "apiVersion": "2017-09-01",
        "name": "[parameters('virtualNetworkName')]",
        "location": "[parameters('location')]",
        "type": "Microsoft.Network/virtualNetworks",
        "properties": {
          "addressSpace": {
            "addressPrefixes": [
              "10.0.0.0/23"
            ]
          },
          "subnets": [
            {
              "name": "[parameters('subnetName')]",
              "properties": {
                "addressPrefix": "10.0.0.0/23",
                "serviceEndpoints": [
                  {
                    "service": "Microsoft.EventHub"
                  }
                ]
              }
            }
          ]
        }
      },
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[variables('namespaceNetworkRuleSetName')]",
        "type": "Microsoft.EventHub/namespaces/networkruleset",
        "dependsOn": [
          "[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
        ],
        "properties": {
          "publicNetworkAccess": "Enabled",
          "defaultAction": "Deny",
          "virtualNetworkRules": 
          [
            {
              "subnet": {
                "id": "[variables('subNetId')]"
              },
              "ignoreMissingVnetServiceEndpoint": false
            }
          ],
          "ipRules":[],
          "trustedServiceAccessEnabled": false
        }
      }
    ],
    "outputs": { }
  }

A sablon üzembe helyezéséhez kövesse az Azure Resource Manager utasításait.

Fontos

Ha nincsenek IP- és virtuális hálózati szabályok, az összes forgalom a névtérbe áramlik, még akkor is, ha be van állítva a defaultAction következőre deny. A névtér a nyilvános interneten keresztül (a hozzáférési kulccsal) érhető el. Adjon meg legalább egy IP-szabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat.

Use Azure CLI

Parancsok az eventhubs namespace network-rule-set hozzáadása, listázása, frissítése és eltávolítása a Service Bus-névtér virtuális hálózati szabályainak kezeléséhez.

Use Azure PowerShell

A következő Azure PowerShell-parancsokkal adhat hozzá, listázhat, távolíthat el, frissíthet és törölhet hálózati szabályokat egy Service Bus-névtérhez.

alapértelmezett művelet és nyilvános hálózati hozzáférés

REST API

A tulajdonság alapértelmezett értéke az defaultAction API 2021-01-01-preview és korábbi verziója voltDeny. A megtagadási szabályt azonban csak akkor kényszeríti ki a rendszer, ha IP-szűrőket vagy virtuális hálózati (VNet-) szabályokat állít be. Vagyis ha nem rendelkezik IP-szűrőkkel vagy VNet-szabályokkal, a rendszer úgy kezeli, mint Allow.

Az API 2021-06-01 előzetes verziójától kezdve a tulajdonság Allowalapértelmezett értéke a defaultAction szolgáltatásoldali kényszerítés pontos tükrözése. Ha az alapértelmezett művelet be van állítva Deny, az IP-szűrők és a virtuális hálózati szabályok érvénybe lépnek. Ha az alapértelmezett művelet be van állítva Allow, a rendszer nem kényszeríti ki az IP-szűrőket és a virtuális hálózati szabályokat. A szolgáltatás megjegyzi a szabályokat, amikor kikapcsolja őket, majd újra bekapcsolja őket.

Az API 2021-06-01-preview verziója egy új tulajdonságot publicNetworkAccessis bevezet. Ha be van állítva Disabled, a műveletek csak a privát hivatkozásokra korlátozódnak. Ha be van állítva Enabled, a műveletek engedélyezettek a nyilvános interneten keresztül.

Ezekről a tulajdonságokról további információt a Hálózati szabálykészlet létrehozása vagy frissítése, valamint a Privát végpont Csatlakozás létrehozása vagy frissítése című témakörben talál.

Megjegyzés:

A fenti beállítások egyike sem kerüli el a jogcímek SAS vagy Microsoft Entra hitelesítésen keresztüli érvényesítését. A hitelesítési ellenőrzés mindig akkor fut, ha a szolgáltatás ellenőrzi a beállítások publicNetworkAccessprivateEndpointConnections által defaultActionkonfigurált hálózati ellenőrzéseket.

Azure Portal

Az Azure Portal mindig a legújabb API-verziót használja a tulajdonságok lekéréséhez és beállításához. Ha korábban a névteret a 2021-01-01 előzetes verzióban, korábban pedig nulla IP-szűrőkkel és virtuális hálózatokra vonatkozó Denyszabályokkal defaultAction konfigurálta, a portál korábban a Névtér Hálózat lapján ellenőrizte a Kijelölt hálózatok lehetőséget. Most a Minden hálózat lehetőséget ellenőrzi.

Screenshot that shows the Public access page with the All networks option selected.

További lépések

A virtuális hálózatokkal kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat: