Toegang tot Azure Event Hubs-naamruimten van specifieke IP-adressen of -bereiken toestaan
Standaard zijn Event Hubs van internet toegankelijk zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met IP-firewall kunt u deze verder beperken tot slechts een set IPv4-adressen of IPv4-adresbereiken in CIDR-notatie (classless Inter-Domain Routing).
Deze functie is handig in scenario's Azure Event Hubs alleen toegankelijk moeten zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren voor het accepteren van verkeer dat afkomstig is van specifieke IPv4-adressen. Als u bijvoorbeeld een Event Hubs azure Express Routegebruikt, kunt u een firewallregel maken om alleen verkeer van de IP-adressen van uw on-premises infrastructuur toe te staan.
IP-firewallregels
De IP-firewallregels worden toegepast op Event Hubs naamruimteniveau. De regels zijn dus van toepassing op alle verbindingen van clients die gebruikmaken van elk ondersteund protocol. Een verbindingspoging vanaf een IP-adres dat niet overeen komt met een toegestane IP-regel op de Event Hubs-naamruimte, wordt geweigerd als niet-geautoriseerd. In het antwoord wordt de IP-regel niet vermeld. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie accepteren of afwijzen.
Belangrijke punten
- Deze functie wordt niet ondersteund in de basic-laag.
- Als u firewallregels voor uw Event Hubs in te stellen, worden binnenkomende aanvragen standaard geblokkeerd, tenzij aanvragen afkomstig zijn van een service die vanaf toegestane openbare IP-adressen werkt. Aanvragen die worden geblokkeerd, zijn onder andere aanvragen van andere Azure-services, Azure Portal logboekregistratie, services voor metrische gegevens, en meer. Als uitzondering kunt u toegang tot de Event Hubs van bepaalde vertrouwde services toestaan, zelfs wanneer het FILTEREN OP IP is ingeschakeld. Zie Trusted Microsoft-services voor een lijst met vertrouwde Microsoft-services.
- Geef ten minste één IP-firewallregel of virtuele netwerkregel op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het subnet van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, is de naamruimte toegankelijk via het openbare internet (met behulp van de toegangssleutel).
Azure Portal gebruiken
In deze sectie ziet u hoe u de Azure Portal ip-firewallregels voor een Event Hubs maken.
Navigeer naar Event Hubs naamruimte in de Azure Portal.
Selecteer Netwerken onder Instellingen in het menu links.
Waarschuwing
Als u de optie Geselecteerde netwerken selecteert en niet ten minste één IP-firewallregel of een virtueel netwerk op deze pagina toevoegt, is de naamruimte toegankelijk via openbaar internet (met behulp van de toegangssleutel).
Als u de optie Alle netwerken selecteert, accepteert de Event Hub verbindingen vanaf elk IP-adres (met behulp van de toegangssleutel). Deze instelling is gelijk aan een regel die het IP-adresbereik 0.0.0.0/0 accepteert.
Als u de toegang tot specifieke IP-adressen wilt beperken, controleert u of de optie Geselecteerde netwerken is geselecteerd. Volg deze stappen in de sectie Firewall:
- Selecteer De optie IP-adres van client toevoegen om uw huidige client-IP toegang te geven tot de naamruimte.
- Voer voor adresbereik een specifiek IPv4-adres of een IPv4-adresbereik in CIDR-notatie in.
Waarschuwing
Als u de optie Geselecteerde netwerken selecteert en niet ten minste één IP-firewallregel of een virtueel netwerk op deze pagina toevoegt, is de naamruimte toegankelijk via openbaar internet (met behulp van de toegangssleutel).
Geef op of u wilt toestaan dat vertrouwde Microsoft-services firewall omzeilt. Zie Vertrouwde Microsoft-services voor meer informatie.
Selecteer Opslaan op de werkbalk om de instellingen op te slaan. Wacht enkele minuten totdat de bevestiging wordt weer geven in de portalmeldingen.
Notitie
Zie Toegang vanaf specifieke netwerken toestaan als u de toegang tot specifieke virtuele netwerken wilt beperken.
Vertrouwde Microsoft-services
Wanneer u de instelling Vertrouwde toegang Microsoft-services om deze firewall te omzeilen inschakelen, krijgen de volgende services toegang tot uw Event Hubs resources.
| Vertrouwde service | Ondersteunde gebruiksscenario's |
|---|---|
| Azure Event Grid | Hiermee Azure Event Grid gebeurtenissen verzenden naar Event Hubs in Event Hubs naamruimte. U moet ook de volgende stappen volgen:
Zie Levering van gebeurtenissen met een beheerde identiteit voor meer informatie |
| Azure Monitor (diagnostische Instellingen en actiegroepen) | Hiermee Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Event Hubs in Event Hubs naamruimte. Azure Monitor kunt lezen uit de Event Hub en ook gegevens schrijven naar de Event Hub. |
| Azure Stream Analytics | Hiermee kan Azure Stream Analytics taak gegevens lezen uit (invoer) of gegevens schrijven naareventhubs (uitvoer) in uw Event Hubs naamruimte. Belangrijk: de Stream Analytics taak moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Beheerde identiteiten gebruiken voor toegang tot Event Hub vanuit een Azure Stream Analytics -taak (preview)voor meer informatie. |
| Azure IoT Hub | Hiermee IoT Hub berichten verzenden naar Event Hubs in uw Event Hub-naamruimte. U moet ook de volgende stappen volgen:
|
| Azure API Management | Met API Management service kunt u gebeurtenissen verzenden naar een Event Hub in Event Hubs naamruimte.
|
| Azure IoT Central | Hiermee IoT Central gegevens exporteren naar Event Hubs in uw Event Hub-naamruimte. U moet ook de volgende stappen volgen:
|
Resource Manager-sjabloon gebruiken
Belangrijk
De firewallfunctie wordt niet ondersteund in de basic-laag.
Met de Resource Manager kunt u een IP-filterregel toevoegen aan een bestaande Event Hubs naamruimte.
ipMask in de sjabloon is een enkel IPv4-adres of een blok IP-adressen in CIDR-notatie. In CIDR-notatie vertegenwoordigt bijvoorbeeld 70.37.104.0/24 de 256 IPv4-adressen van 70.37.104.0 tot 70.37.104.255, waarbij 24 het aantal belangrijke voorvoegselbits voor het bereik aangeeft.
Wanneer u regels voor virtuele netwerken of firewalls toevoegt, stelt u de waarde van defaultAction in op Deny .
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkrulesets",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"virtualNetworkRules": [<YOUR EXISTING VIRTUAL NETWORK RULES>],
"ipRules":
[
{
"ipMask":"10.1.1.1",
"action":"Allow"
},
{
"ipMask":"11.0.0.0/24",
"action":"Allow"
}
],
"trustedServiceAccessEnabled": false,
"defaultAction": "Deny"
}
}
],
"outputs": { }
}
Volg de instructies voor het implementeren van de Azure Resource Manager.
Belangrijk
Als er geen IP- en virtuele netwerkregels zijn, stroomt al het verkeer naar de naamruimte, zelfs als u de in defaultAction stelt op deny . De naamruimte is toegankelijk via het openbare internet (met behulp van de toegangssleutel). Geef ten minste één IP-regel of virtuele netwerkregel op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het subnet van een virtueel netwerk toe te staan.
Volgende stappen
Zie de volgende koppeling voor Event Hubs toegang tot virtuele Azure-netwerken: