Toegang tot Azure Event Hubs-naamruimten vanaf specifieke IP-adressen of bereiken toestaan

Event Hubs-naamruimten zijn standaard toegankelijk vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met IP-firewall kunt u deze verder beperken tot alleen een set IPv4-adressen of IPv4-adresbereiken in CIDR-notatie (Classless Inter-Domain Routing).

Deze functie is handig in scenario's waarin Azure Event Hubs alleen toegankelijk moet zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren om verkeer te accepteren dat afkomstig is van specifieke IPv4-adressen. Als u bijvoorbeeld Event Hubs gebruikt met Azure Express Route, kunt u een firewallregel maken om alleen verkeer van uw on-premises infrastructuur-IP-adressen toe te staan.

IP-firewallregels

De IP-firewallregels worden toegepast op het niveau van de Event Hubs-naamruimte. De regels zijn dus van toepassing op alle verbindingen van clients die gebruikmaken van elk ondersteund protocol. Elke verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel in de Event Hubs-naamruimte, wordt geweigerd als onbevoegd. In het antwoord wordt de IP-regel niet vermeld. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie Accepteren of Weigeren.

Belangrijke punten

  • Deze functie wordt niet ondersteund in de basic-laag .
  • Als u firewallregels inschakelt voor uw Event Hubs-naamruimte, worden binnenkomende aanvragen standaard geblokkeerd, tenzij aanvragen afkomstig zijn van een service die vanaf toegestane openbare IP-adressen werkt. Aanvragen die worden geblokkeerd, zijn die van andere Azure-services, van Azure Portal, van logboekregistratie- en metrische gegevensservices, enzovoort. Als uitzondering kunt u toegang tot Event Hubs-resources van bepaalde vertrouwde services toestaan, zelfs wanneer het IP-filter is ingeschakeld. Zie Vertrouwde Microsoft-services voor een lijst met vertrouwde services.
  • Geef ten minste één IP-firewallregel of virtuele netwerkregel op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of subnet van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, kan de naamruimte worden geopend via het openbare internet (met behulp van de toegangssleutel).

Azure Portal gebruiken

In deze sectie wordt beschreven hoe u Azure Portal gebruikt om IP-firewallregels te maken voor een Event Hubs-naamruimte.

  1. Navigeer naar uw Event Hubs-naamruimte in Azure Portal.

  2. Selecteer Netwerken onder Instellingen in het linkermenu.

  3. Op de pagina Netwerken kunt u voor openbare netwerktoegang een van de drie volgende opties instellen. Kies de optie Geselecteerde netwerken om toegang vanaf alleen opgegeven IP-adressen toe te staan.

    • Uitgeschakeld. Met deze optie wordt openbare toegang tot de naamruimte uitgeschakeld. De naamruimte is alleen toegankelijk via privé-eindpunten.

      Networking page - public access tab - public network access is disabled.

    • Geselecteerde netwerken. Met deze optie heeft u openbare toegang tot de naamruimte met behulp van een toegangssleutel uit geselecteerde netwerken.

      Belangrijk

      Als u Geselecteerde netwerken kiest, voegt u ten minste één IP-firewallregel of een virtueel netwerk toe dat toegang heeft tot de naamruimte. Kies Uitgeschakeld als u alleen al het verkeer naar deze naamruimte wilt beperken via privé-eindpunten .

      Networking page with the selected networks option selected.

    • Alle netwerken (standaard). Met deze optie wordt openbare toegang vanuit alle netwerken mogelijk gemaakt met behulp van een toegangssleutel. Als u de optie Alle netwerken selecteert, accepteert de Event Hub verbindingen vanaf elk IP-adres (met behulp van de toegangssleutel). Deze instelling is gelijk aan een regel die het IP-adresbereik 0.0.0.0/0 accepteert.

      Screenshot that shows the Public access page with the All networks option selected.

  4. Voer de volgende stappen uit om de toegang tot specifieke IP-adressen te beperken:

    1. Selecteer in de sectie Firewallde optie Ip-adres van de client toevoegen om uw huidige client-IP-adres toegang te geven tot de naamruimte.

    2. Voer voor adresbereik een specifiek IPv4-adres of een bereik van IPv4-adres in cidr-notatie in.

      Zie Toegang vanaf specifieke netwerken toestaan om de toegang tot specifieke virtuele netwerken te beperken.

    3. Geef op of u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen. Zie Vertrouwde Microsoft-services voor meer informatie.

      Firewall section highlighted in the Public access tab of the Networking page.

  5. Selecteer Opslaan op de werkbalk om de instellingen op te slaan. Wacht enkele minuten totdat de bevestiging wordt weergegeven in de portalmeldingen.

    Notitie

    Zie Toegang vanaf specifieke netwerken toestaan om de toegang tot specifieke virtuele netwerken te beperken.

Vertrouwde Microsoft-services

Wanneer u vertrouwde Microsoft-services toestaat om deze firewallinstelling te omzeilen , krijgen de volgende services binnen dezelfde tenant toegang tot uw Event Hubs-resources.

Vertrouwde service Ondersteunde gebruiksscenario's
Azure Event Grid Hiermee kan Azure Event Grid gebeurtenissen verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
  • Door het systeem toegewezen identiteit inschakelen voor een onderwerp of een domein
  • De identiteit toevoegen aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte
  • Configureer vervolgens het gebeurtenisabonnement dat gebruikmaakt van een Event Hub als eindpunt om de door het systeem toegewezen identiteit te gebruiken.

Zie Gebeurtenisbezorging met een beheerde identiteit voor meer informatie

Azure Monitor (diagnostische instellingen en actiegroepen) Hiermee kan Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Event Hubs in uw Event Hubs-naamruimte. Azure Monitor kan gegevens lezen uit de Event Hub en ook gegevens naar de Event Hub schrijven.
Azure Stream Analytics Hiermee kan een Azure Stream Analytics-taak gegevens lezen uit (invoer) of gegevens schrijven naar (uitvoer) Event Hubs in uw Event Hubs-naamruimte.

Belangrijk: De Stream Analytics-taak moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Beheerde identiteiten gebruiken voor toegang tot Event Hub vanuit een Azure Stream Analytics-taak (preview) voor meer informatie.

Azure IoT Hub Hiermee kan IoT Hub berichten verzenden naar Event Hubs in uw Event Hub-naamruimte. U moet ook de volgende stappen uitvoeren:
  • Door het systeem toegewezen identiteit inschakelen voor uw IoT-hub
  • Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte.
  • Configureer vervolgens de IoT Hub die gebruikmaakt van een Event Hub als een aangepast eindpunt om de verificatie op basis van identiteit te gebruiken.
Azure API Management

Met de API Management-service kunt u gebeurtenissen verzenden naar een Event Hub in uw Event Hubs-naamruimte.

Azure IoT Central

Hiermee kan IoT Central gegevens exporteren naar Event Hubs in uw Event Hub-naamruimte. U moet ook de volgende stappen uitvoeren:

  • Schakel door het systeem toegewezen identiteit in voor uw IoT Central-toepassing.
  • Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte.
  • Configureer vervolgens de Event Hubs-exportbestemming in uw IoT Central-toepassing om verificatie op basis van identiteit te gebruiken.

Resource Manager-sjabloon gebruiken

Belangrijk

De firewallfunctie wordt niet ondersteund in de basic-laag.

Met de volgende Resource Manager-sjabloon kunt u een IP-filterregel toevoegen aan een bestaande Event Hubs-naamruimte.

ipMask in de sjabloon is één IPv4-adres of een blok IP-adressen in CIDR-notatie. In CIDR-notatie 70.37.104.0/24 worden bijvoorbeeld de 256 IPv4-adressen van 70.37.104.0 tot 70.37.104.255 aangegeven, waarbij 24 het aantal significante voorvoegsels voor het bereik aangeeft.

Notitie

De standaardwaarde van de defaultAction is Allow. Wanneer u regels voor virtuele netwerken of firewalls toevoegt, moet u ervoor zorgen dat u de regel instelt defaultAction op Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "eventhubNamespaceName": {
            "type": "String"
        }
    },
    "resources": [
        {
            "type": "Microsoft.EventHub/namespaces",
            "apiVersion": "2021-11-01",
            "name": "[parameters('eventhubNamespaceName')]",
            "location": "East US",
            "sku": {
                "name": "Standard",
                "tier": "Standard",
                "capacity": 1
            },
            "properties": {
                "disableLocalAuth": false,
                "zoneRedundant": true,
                "isAutoInflateEnabled": false,
                "maximumThroughputUnits": 0,
                "kafkaEnabled": true
            }
        },
        {
            "type": "Microsoft.EventHub/namespaces/networkRuleSets",
            "apiVersion": "2021-11-01",
            "name": "[concat(parameters('eventhubNamespaceName'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.EventHub/namespaces', parameters('eventhubNamespaceName'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask":"10.1.1.1",
                        "action":"Allow"
                    },
                    {
                        "ipMask":"11.0.0.0/24",
                        "action":"Allow"
                    }                
                ]
            }
        }
    ]
}

Volg de instructies voor Azure Resource Manager om de sjabloon te implementeren.

Belangrijk

Als er geen IP- en virtuele netwerkregels zijn, stroomt al het verkeer naar de naamruimte, zelfs als u de defaultAction naamruimte instelt op deny. De naamruimte kan worden geopend via het openbare internet (met behulp van de toegangssleutel). Geef ten minste één IP-regel of virtuele netwerkregel op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het subnet van een virtueel netwerk toe te staan.

standaardactie en openbare netwerktoegang

REST-API

De standaardwaarde van de defaultAction eigenschap was Deny voor API-versie 2021-01-01-preview en eerder. De regel voor weigeren wordt echter niet afgedwongen, tenzij u IP-filters of VNet-regels (Virtual Network) instelt. Als u geen IP-filters of VNet-regels hebt, wordt dit beschouwd als Allow.

Vanaf API-versie 2021-06-01-preview is Allowde standaardwaarde van de defaultAction eigenschap, om de afdwinging aan de servicezijde nauwkeurig weer te geven. Als de standaardactie is ingesteld op Deny, worden IP-filters en VNet-regels afgedwongen. Als de standaardactie is ingesteld op Allow, worden IP-filters en VNet-regels niet afgedwongen. De service onthoudt de regels wanneer u ze uitschakelt en vervolgens weer inschakelt.

De API-versie 2021-06-01-preview introduceert ook een nieuwe eigenschap met de naam publicNetworkAccess. Als deze optie is ingesteld Disabledop , zijn bewerkingen alleen beperkt tot privékoppelingen. Als deze optie is ingesteld Enabledop , zijn bewerkingen toegestaan via het openbare internet.

Zie Netwerkregelset maken of bijwerken en Privé-eindpuntverbindingen maken of bijwerken voor meer informatie over deze eigenschappen.

Notitie

Geen van de bovenstaande instellingen omzeilt de validatie van claims via SAS- of Azure AD-verificatie. De verificatiecontrole wordt altijd uitgevoerd nadat de service de netwerkcontroles valideert die zijn geconfigureerd door defaultAction, publicNetworkAccessinstellingen privateEndpointConnections .

Azure Portal

Azure Portal gebruikt altijd de nieuwste API-versie om eigenschappen op te halen en in te stellen. Als u uw naamruimte eerder had geconfigureerd met 2021-01-01-preview en eerder met defaultAction ingesteld op Denyen nul IP-filters en VNet-regels hebt opgegeven, had de portal eerder Geselecteerde netwerken gecontroleerd op de pagina Netwerken van uw naamruimte. Nu wordt de optie Alle netwerken gecontroleerd.

Screenshot that shows the Public access page with the All networks option selected.

Volgende stappen

Zie de volgende koppeling voor het beperken van de toegang tot Event Hubs naar virtuele Azure-netwerken: