Toegang tot Azure Event Hubs naamruimten van specifieke virtuele netwerken toestaan
De integratie van Event Hubs met Virtual Network-service-eindpunten (VNet) maakt beveiligde toegang tot berichtenmogelijkheden mogelijk vanuit werkbelastingen zoals virtuele machines die zijn gebonden aan virtuele netwerken, en het netwerkverkeerspad wordt aan beide uiteinden beveiligd.
Zodra de naamruimte is geconfigureerd voor gebonden aan ten minste één subnetservice-eindpunt voor een virtueel netwerk, accepteert de respectieve Event Hubs-naamruimte geen verkeer meer vanaf elke locatie, maar van geautoriseerde subnetten in virtuele netwerken. Vanuit het perspectief van het virtuele netwerk configureert een Event Hubs-naamruimte aan een service-eindpunt een geïsoleerde netwerktunnel van het subnet van het virtuele netwerk naar de berichtenservice.
Het resultaat is een privé- en geïsoleerde relatie tussen de workloads die zijn gebonden aan het subnet en de respectieve Event Hubs-naamruimte, ondanks dat het waarneembare netwerkadres van het service-eindpunt voor berichten zich in een openbaar IP-bereik. Er is een uitzondering op dit gedrag. Als u een service-eindpunt inschakelen, wordt de regel denyall standaard ingeschakeld in de IP-firewall die is gekoppeld aan het virtuele netwerk. U kunt specifieke IP-adressen toevoegen in de IP-firewall om toegang tot het openbare eindpunt van Event Hub mogelijk te maken.
Belangrijke punten
- Deze functie wordt niet ondersteund in de basic-laag.
- Virtuele netwerken inschakelen voor uw Event Hubs blokkeert binnenkomende aanvragen standaard, tenzij aanvragen afkomstig zijn van een service die vanaf toegestane virtuele netwerken werkt. Aanvragen die worden geblokkeerd, zijn onder andere aanvragen van andere Azure-services, Azure Portal, logboekregistratie- en metrische gegevensservices, en meer. Als uitzondering kunt u toegang tot uw Event Hubs van bepaalde vertrouwde services toestaan, zelfs wanneer virtuele netwerken zijn ingeschakeld. Zie Vertrouwde services voor een lijst met vertrouwde services.
- Geef ten minste één IP-regel of virtuele netwerkregel op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het subnet van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, is de naamruimte toegankelijk via het openbare internet (met behulp van de toegangssleutel).
Geavanceerde beveiligingsscenario's mogelijk gemaakt door VNet-integratie
Oplossingen waarvoor een nauwe en compartimentele beveiliging is vereist en waarbij subnetten van virtuele netwerken de segmentatie tussen de gesegmenteerde services bieden, hebben nog steeds communicatiepaden nodig tussen services die zich in deze ruimten bevindt.
Elke directe IP-route tussen de compartimenten, inclusief die met HTTPS via TCP/IP, brengt het risico van misbruik van beveiligingsproblemen van de netwerklaag in gevaar. Berichtenservices bieden afgeschermde communicatiepaden, waarbij berichten zelfs naar de schijf worden geschreven wanneer ze tussen partijen overstappen. Werkbelastingen in twee afzonderlijke virtuele netwerken die beide zijn gebonden aan hetzelfde Event Hubs-exemplaar, kunnen efficiënt en betrouwbaar communiceren via berichten, terwijl de integriteit van de respectieve netwerkisolatiegrens behouden blijft.
Dit betekent dat uw beveiligingsgevoelige cloudoplossingen niet alleen toegang krijgen tot de toonaangevende betrouwbare en schaalbare asynchrone berichtenmogelijkheden van Azure, maar ze kunnen nu ook berichten gebruiken om communicatiepaden te maken tussen beveiligde oplossingsruimten die inherent veiliger zijn dan wat haalbaar is met elke peer-to-peer-communicatiemodus, inclusief HTTPS en andere met TLS beveiligde socketprotocollen.
Event Hubs verbinden met virtuele netwerken
Regels voor virtuele netwerken zijn de firewallbeveiligingsfunctie waarmee wordt bepaald of uw Azure Event Hubs-naamruimte verbindingen accepteert van een bepaald subnet van een virtueel netwerk.
Het binden Event Hubs naamruimte aan een virtueel netwerk is een proces in twee stappen. U moet eerst een service-eindpunt voor een virtueel netwerk maken op het subnet van een virtueel netwerk en dit inschakelen voor Microsoft.EventHub, zoals uitgelegd in het overzichtsartikel over service-eindpunten. Nadat u het service-eindpunt hebt toegevoegd, verbindt u de Event Hubs-naamruimte met een regel voor een virtueel netwerk.
De regel voor het virtuele netwerk is een Event Hubs naamruimte met een subnet van een virtueel netwerk. Hoewel de regel bestaat, krijgen alle workloads die zijn gebonden aan het subnet toegang tot de Event Hubs naamruimte. Event Hubs zelf maakt nooit uitgaande verbindingen, hoeft geen toegang te krijgen en krijgt daarom nooit toegang tot uw subnet door deze regel in te stellen.
Azure Portal gebruiken
In deze sectie ziet u hoe u Azure Portal een service-eindpunt voor een virtueel netwerk toevoegt. Als u de toegang wilt beperken, moet u het service-eindpunt voor het virtuele netwerk voor deze Event Hubs integreren.
Navigeer naar Event Hubs naamruimte in de Azure Portal.
Selecteer Netwerken onder Instellingen in het menu links.
Waarschuwing
Als u de optie Geselecteerde netwerken selecteert en niet ten minste één IP-firewallregel of een virtueel netwerk toevoegt op deze pagina, is de naamruimte toegankelijk via openbaar internet (met behulp van de toegangssleutel).
Als u de optie Alle netwerken selecteert, accepteert de Event Hub verbindingen vanaf elk IP-adres (met behulp van de toegangssleutel). Deze instelling is gelijk aan een regel die het IP-adresbereik 0.0.0.0/0 accepteert.
Als u de toegang tot specifieke netwerken wilt beperken, selecteert u de optie Geselecteerde netwerken bovenaan de pagina als deze optie nog niet is geselecteerd.
Selecteer in Virtual Network sectie van de pagina + Bestaand virtueel netwerk toevoegen _. Selecteer _ + Nieuw virtueel netwerk maken* als u een nieuw VNet wilt maken.
Waarschuwing
Als u de optie Geselecteerde netwerken selecteert en niet ten minste één IP-firewallregel of een virtueel netwerk toevoegt op deze pagina, is de naamruimte toegankelijk via openbaar internet (met behulp van de toegangssleutel).
Selecteer het virtuele netwerk in de lijst met virtuele netwerken en kies vervolgens het subnet. U moet het service-eindpunt inschakelen voordat u het virtuele netwerk aan de lijst toevoegt. Als het service-eindpunt niet is ingeschakeld, wordt u door de portal gevraagd het in teschakelen.
Als het goed is, wordt het volgende bericht weergegeven nadat het service-eindpunt voor het subnet is ingeschakeld voor Microsoft.EventHub. Selecteer Toevoegen onderaan de pagina om het netwerk toe te voegen.
Notitie
Als u het service-eindpunt niet kunt inschakelen, kunt u het ontbrekende service-eindpunt van het virtuele netwerk negeren met behulp van Resource Manager sjabloon. Deze functionaliteit is niet beschikbaar in de portal.
Geef op of u wilt toestaan dat vertrouwde Microsoft-services firewall omzeilt. Zie Vertrouwde Microsoft-services voor meer informatie.
Selecteer Opslaan op de werkbalk om de instellingen op te slaan. Wacht enkele minuten totdat de bevestiging wordt weer geven in de portalmeldingen.
Notitie
Zie Toegang vanaf specifieke IP-adressen of -bereiken toestaan als u de toegang tot specifieke IP-adressen of -bereiken wilt beperken.
Vertrouwde Microsoft-services
Wanneer u de instelling Vertrouwde toegang Microsoft-services om deze firewall te omzeilen inschakelen, krijgen de volgende services toegang tot uw Event Hubs resources.
| Vertrouwde service | Ondersteunde gebruiksscenario's |
|---|---|
| Azure Event Grid | Hiermee Azure Event Grid gebeurtenissen verzenden naar Event Hubs in Event Hubs naamruimte. U moet ook de volgende stappen volgen:
Zie Levering van gebeurtenissen met een beheerde identiteit voor meer informatie |
| Azure Monitor (diagnostische Instellingen en actiegroepen) | Hiermee Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Event Hubs in Event Hubs naamruimte. Azure Monitor kunt lezen uit de Event Hub en ook gegevens schrijven naar de Event Hub. |
| Azure Stream Analytics | Hiermee kan Azure Stream Analytics taak gegevens lezen uit (invoer) of gegevens schrijven naareventhubs (uitvoer) in uw Event Hubs naamruimte. Belangrijk: de Stream Analytics taak moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Beheerde identiteiten gebruiken voor toegang tot Event Hub vanuit een Azure Stream Analytics -taak (preview)voor meer informatie. |
| Azure IoT Hub | Hiermee IoT Hub berichten verzenden naar Event Hubs in uw Event Hub-naamruimte. U moet ook de volgende stappen volgen:
|
| Azure API Management | Met API Management service kunt u gebeurtenissen verzenden naar een Event Hub in Event Hubs naamruimte.
|
| Azure IoT Central | Hiermee IoT Central gegevens exporteren naar Event Hubs in uw Event Hub-naamruimte. U moet ook de volgende stappen volgen:
|
Resource Manager-sjabloon gebruiken
In het volgende voorbeeld Resource Manager een virtuele-netwerkregel toegevoegd aan een bestaande Event Hubs naamruimte. Voor de netwerkregel wordt de id van een subnet in een virtueel netwerk opgegeven.
De id is een volledig gekwalificeerde Resource Manager voor het subnet van het virtuele netwerk. Bijvoorbeeld voor /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default het standaardsubnet van een virtueel netwerk.
Wanneer u regels voor virtuele netwerken of firewalls toevoegt, stelt u de waarde van defaultAction in op Deny .
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Rule"
}
},
"subnetName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Sub Net"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2017-09-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Network/virtualNetworks",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/23"
]
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "10.0.0.0/23",
"serviceEndpoints": [
{
"service": "Microsoft.EventHub"
}
]
}
}
]
}
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkruleset",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"virtualNetworkRules":
[
{
"subnet": {
"id": "[variables('subNetId')]"
},
"ignoreMissingVnetServiceEndpoint": false
}
],
"ipRules":[<YOUR EXISTING IP RULES>],
"trustedServiceAccessEnabled": false,
"defaultAction": "Deny"
}
}
],
"outputs": { }
}
Volg de instructies voor het implementeren van de sjabloon Azure Resource Manager.
Belangrijk
Als er geen IP- en virtuele netwerkregels zijn, stroomt al het verkeer naar de naamruimte, zelfs als u de in defaultAction stelt op deny . De naamruimte is toegankelijk via het openbare internet (met behulp van de toegangssleutel). Geef ten minste één IP-regel of virtuele netwerkregel op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het subnet van een virtueel netwerk toe te staan.
Volgende stappen
Zie de volgende koppelingen voor meer informatie over virtuele netwerken: