Zezwalaj na dostęp do przestrzeni nazw usługi Azure Event Hubs z określonych sieci wirtualnych
Integracja usługi Event Hubs z punktami końcowymi usługi sieci wirtualnej umożliwia bezpieczny dostęp do funkcji obsługi komunikatów z obciążeń, takich jak maszyny wirtualne powiązane z sieciami wirtualnymi, przy czym ścieżka ruchu sieciowego jest zabezpieczona na obu końcach.
Po skonfigurowaniu połączenia z co najmniej jednym punktem końcowym usługi podsieci sieci wirtualnej odpowiedni obszar nazw usługi Event Hubs nie akceptuje już ruchu z dowolnego miejsca, ale autoryzowanych podsieci w sieciach wirtualnych. Z perspektywy sieci wirtualnej powiązanie przestrzeni nazw usługi Event Hubs z punktem końcowym usługi konfiguruje izolowany tunel sieciowy z podsieci sieci wirtualnej do usługi obsługi komunikatów.
Wynikiem jest prywatna i izolowana relacja między obciążeniami powiązanymi z podsiecią a odpowiednią przestrzenią nazw usługi Event Hubs, pomimo zauważalnego adresu sieciowego punktu końcowego usługi obsługi komunikatów w publicznym zakresie adresów IP. Istnieje wyjątek od tego zachowania. Włączenie punktu końcowego usługi domyślnie włącza denyall regułę w zaporze ip skojarzonej z siecią wirtualną. Możesz dodać określone adresy IP w zaporze ip, aby umożliwić dostęp do publicznego punktu końcowego usługi Event Hubs.
Ważne punkty
- Ta funkcja nie jest obsługiwana w warstwie Podstawowa.
- Włączenie sieci wirtualnych dla przestrzeni nazw usługi Event Hubs domyślnie blokuje przychodzące żądania, chyba że żądania pochodzą z usługi działającej z dozwolonych sieci wirtualnych. Żądania, które są zablokowane, obejmują te z innych usług platformy Azure, z witryny Azure Portal, z usług rejestrowania i metryk itd. Wyjątkiem jest zezwolenie na dostęp do zasobów usługi Event Hubs z określonych zaufanych usług nawet wtedy, gdy sieci wirtualne są włączone. Aby uzyskać listę zaufanych usług, zobacz Zaufane usługi.
- Określ co najmniej jedną regułę adresu IP lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej. Jeśli nie ma reguł adresów IP i sieci wirtualnej, przestrzeń nazw może być dostępna za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).
Zaawansowane scenariusze zabezpieczeń włączone przez integrację z siecią wirtualną
Rozwiązania, które wymagają ścisłego i podzielonego zabezpieczeń, a podsieci sieci wirtualnej zapewniają segmentację między usługami z podziałem na przedziały, nadal wymagają ścieżek komunikacyjnych między usługami znajdującymi się w tych przedziałach.
Każda natychmiastowa trasa IP między przedziałami, w tym przewożące protokół HTTPS za pośrednictwem protokołu TCP/IP, niesie ze sobą ryzyko wykorzystania luk w zabezpieczeniach z warstwy sieciowej. Usługi obsługi komunikatów zapewniają izolowane ścieżki komunikacyjne, w których komunikaty są nawet zapisywane na dysku podczas przechodzenia między stronami. Obciążenia w dwóch różnych sieciach wirtualnych, które są powiązane z tym samym wystąpieniem usługi Event Hubs, mogą komunikować się wydajnie i niezawodnie za pośrednictwem komunikatów, podczas gdy odpowiednia integralność granicy izolacji sieci jest zachowywana.
Oznacza to, że poufne rozwiązania w chmurze zabezpieczeń nie tylko uzyskują dostęp do wiodących w branży niezawodnych i skalowalnych możliwości obsługi komunikatów asynchronicznych, ale mogą teraz używać komunikatów do tworzenia ścieżek komunikacyjnych między bezpiecznymi przedziałami rozwiązań, które są z natury bezpieczniejsze niż to, co jest osiągalne w przypadku dowolnego trybu komunikacji równorzędnej, w tym protokołów HTTPS i innych protokołów gniazd zabezpieczonych za pomocą protokołu TLS.
Wiązanie centrów zdarzeń z sieciami wirtualnymi
Reguły sieci wirtualnej to funkcja zabezpieczeń zapory, która kontroluje, czy przestrzeń nazw usługi Azure Event Hubs akceptuje połączenia z określonej podsieci sieci wirtualnej.
Powiązanie przestrzeni nazw usługi Event Hubs z siecią wirtualną jest procesem dwuetapowym. Najpierw należy utworzyć punkt końcowy usługi sieci wirtualnej w podsieci sieci wirtualnej i włączyć go dla witryny Microsoft.EventHub zgodnie z opisem w artykule Omówienie punktu końcowego usługi. Po dodaniu punktu końcowego usługi należy powiązać z nią przestrzeń nazw usługi Event Hubs za pomocą reguły sieci wirtualnej.
Reguła sieci wirtualnej jest skojarzeniem przestrzeni nazw usługi Event Hubs z podsiecią sieci wirtualnej. Chociaż reguła istnieje, wszystkie obciążenia powiązane z podsiecią mają dostęp do przestrzeni nazw usługi Event Hubs. Sama usługa Event Hubs nigdy nie ustanawia połączeń wychodzących, nie musi uzyskiwać dostępu i dlatego nigdy nie udziela dostępu do podsieci przez włączenie tej reguły.
Korzystanie z witryny Azure Portal
Podczas tworzenia przestrzeni nazw można zezwolić tylko na dostęp publiczny (ze wszystkich sieci) lub tylko prywatny (tylko za pośrednictwem prywatnych punktów końcowych) do przestrzeni nazw. Po utworzeniu przestrzeni nazw możesz zezwolić na dostęp z określonych adresów IP lub z określonych sieci wirtualnych (przy użyciu punktów końcowych usługi sieciowej).
Konfigurowanie dostępu publicznego podczas tworzenia przestrzeni nazw
Aby włączyć dostęp publiczny, wybierz pozycję Dostęp publiczny na stronie Sieć kreatora tworzenia przestrzeni nazw.
Po utworzeniu przestrzeni nazw wybierz pozycję Sieć w menu po lewej stronie przestrzeni nazw usługi Service Bus. Zostanie wyświetlona opcja Wszystkie sieci . Możesz wybrać opcję Wybrane sieci i zezwolić na dostęp z określonych adresów IP lub określonych sieci wirtualnych. W następnej sekcji przedstawiono szczegółowe informacje na temat określania sieci, z których jest dozwolony dostęp.
Konfigurowanie wybranych sieci dla istniejącej przestrzeni nazw
W tej sekcji pokazano, jak za pomocą witryny Azure Portal dodać punkt końcowy usługi dla sieci wirtualnej. Aby ograniczyć dostęp, należy zintegrować punkt końcowy usługi sieci wirtualnej dla tej przestrzeni nazw usługi Event Hubs.
Przejdź do przestrzeni nazw usługi Event Hubs w witrynie Azure Portal.
Wybierz pozycję Sieć w obszarze Ustawienia w menu po lewej stronie.
Na stronie Sieć w obszarze Dostęp do sieci publicznej można ustawić jedną z trzech następujących opcji. Wybierz opcję Wybrane sieci , aby zezwolić na dostęp tylko z określonych sieci wirtualnych.
Poniżej przedstawiono więcej szczegółów na temat opcji dostępnych na stronie Dostęp do sieci publicznej:
Wyłączone. Ta opcja powoduje wyłączenie dowolnego publicznego dostępu do przestrzeni nazw. Przestrzeń nazw jest dostępna tylko za pośrednictwem prywatnych punktów końcowych.
Wybrane sieci. Ta opcja umożliwia publiczny dostęp do przestrzeni nazw przy użyciu klucza dostępu z wybranych sieci.
Ważne
W przypadku wybrania pozycji Wybrane sieci dodaj co najmniej jedną regułę zapory ip lub sieć wirtualną, która będzie miała dostęp do przestrzeni nazw. Wybierz pozycję Wyłączone , jeśli chcesz ograniczyć cały ruch do tej przestrzeni nazw tylko za pośrednictwem prywatnych punktów końcowych .
Wszystkie sieci (wartość domyślna). Ta opcja umożliwia dostęp publiczny ze wszystkich sieci przy użyciu klucza dostępu. W przypadku wybrania opcji Wszystkie sieci centrum zdarzeń akceptuje połączenia z dowolnego adresu IP (przy użyciu klucza dostępu). To ustawienie jest równoważne regule, która akceptuje zakres adresów IP 0.0.0.0/0.
Aby ograniczyć dostęp do określonych sieci, wybierz opcję Wybrane sieci w górnej części strony, jeśli nie została jeszcze wybrana.
W sekcji Sieci wirtualne strony wybierz pozycję +Dodaj istniejącą sieć wirtualną*. Wybierz pozycję + Utwórz nową sieć wirtualną, jeśli chcesz utworzyć nową sieć wirtualną.
Ważne
W przypadku wybrania pozycji Wybrane sieci dodaj co najmniej jedną regułę zapory ip lub sieć wirtualną, która będzie miała dostęp do przestrzeni nazw. Wybierz pozycję Wyłączone , jeśli chcesz ograniczyć cały ruch do tej przestrzeni nazw tylko za pośrednictwem prywatnych punktów końcowych .
Wybierz sieć wirtualną z listy sieci wirtualnych, a następnie wybierz podsieć. Przed dodaniem sieci wirtualnej do listy należy włączyć punkt końcowy usługi. Jeśli punkt końcowy usługi nie jest włączony, w portalu zostanie wyświetlony monit o jego włączenie.
Po włączeniu punktu końcowego usługi dla podsieci dla podsieci Microsoft.EventHub powinien zostać wyświetlony następujący komunikat. Wybierz pozycję Dodaj w dolnej części strony, aby dodać sieć.
Uwaga
Jeśli nie możesz włączyć punktu końcowego usługi, możesz zignorować brakujący punkt końcowy usługi sieci wirtualnej przy użyciu szablonu usługi Resource Manager. Ta funkcja nie jest dostępna w portalu.
Określ, czy chcesz zezwolić zaufanym usługi firmy Microsoft na obejście tej zapory. Aby uzyskać szczegółowe informacje, zobacz Zaufane usługi firmy Microsoft.
Wybierz pozycję Zapisz na pasku narzędzi, aby zapisać ustawienia. Poczekaj kilka minut na wyświetlenie potwierdzenia w powiadomieniach portalu.
Uwaga
Aby ograniczyć dostęp do określonych adresów IP lub zakresów, zobacz Zezwalaj na dostęp z określonych adresów IP lub zakresów.
Zaufane usługi firmy Microsoft
Po włączeniu ustawienia Zezwalaj na zaufane usługi firmy Microsoft obejście tego ustawienia zapory następujące usługi w ramach tej samej dzierżawy otrzymują dostęp do zasobów usługi Event Hubs.
| Zaufana usługa | Obsługiwane scenariusze użycia |
|---|---|
| Azure Event Grid | Umożliwia usłudze Azure Event Grid wysyłanie zdarzeń do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
Aby uzyskać więcej informacji, zobacz Dostarczanie zdarzeń przy użyciu tożsamości zarządzanej |
| Azure Stream Analytics | Umożliwia zadaniu usługi Azure Stream Analytics odczytywanie danych z (danych wejściowych) lub zapisywanie danych w centrach zdarzeń (wyjściowych) w przestrzeni nazw usługi Event Hubs. Ważne: Zadanie usługi Stream Analytics należy skonfigurować tak, aby używało tożsamości zarządzanej do uzyskiwania dostępu do centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Używanie tożsamości zarządzanych do uzyskiwania dostępu do centrum zdarzeń z zadania usługi Azure Stream Analytics (wersja zapoznawcza). |
| Azure IoT Hub | Umożliwia usłudze IoT Hub wysyłanie komunikatów do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
|
| Usługa Azure API Management | Usługa API Management umożliwia wysyłanie zdarzeń do centrum zdarzeń w przestrzeni nazw usługi Event Hubs.
|
| Azure Monitor (Ustawienia diagnostyczne i grupy akcji) | Umożliwia usłudze Azure Monitor wysyłanie informacji diagnostycznych i powiadomień o alertach do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Usługa Azure Monitor może odczytywać dane z centrum zdarzeń, a także zapisywać dane w centrum zdarzeń. |
| Azure Synapse | Umożliwia usłudze Azure Synapse łączenie się z centrum zdarzeń przy użyciu tożsamości zarządzanej obszaru roboczego usługi Synapse. Dodaj rolę Nadawca, Odbiorca lub Właściciel usługi Azure Event Hubs do tożsamości w przestrzeni nazw usługi Event Hubs. |
| Azure Data Explorer | Umożliwia usłudze Azure Data Explorer odbieranie zdarzeń z centrum zdarzeń przy użyciu tożsamości zarządzanej klastra. Należy wykonać następujące czynności:
|
| Azure IoT Central | Umożliwia usłudze IoT Central eksportowanie danych do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
|
| Azure Health Data Services | Umożliwia łącznikowi IoT dla usług Healthcare APIs pozyskiwanie danych urządzeń medycznych z przestrzeni nazw usługi Event Hubs i utrwalanie danych w skonfigurowanej usłudze Fast Healthcare Interoperability Resources (FHIR®). Łącznik IoT należy skonfigurować tak, aby korzystał z tożsamości zarządzanej w celu uzyskania dostępu do centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Wprowadzenie do łącznika IoT — Interfejsy API usługi Azure Healthcare. |
| Azure Digital Twins | Umożliwia usłudze Azure Digital Twins wyjście danych do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
|
Inne zaufane usługi dla usługi Azure Event Hubs można znaleźć poniżej:
- Azure Arc
- Azure Kubernetes
- Uczenie maszynowe Azure
- Microsoft Purview
Używanie szablonu usługi Resource Manager
Poniższy przykładowy szablon usługi Resource Manager dodaje regułę sieci wirtualnej do istniejącej przestrzeni nazw usługi Event Hubs. Dla reguły sieci określa identyfikator podsieci w sieci wirtualnej.
Identyfikator jest w pełni kwalifikowaną ścieżką usługi Resource Manager dla podsieci sieci wirtualnej. Na przykład /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default dla domyślnej podsieci sieci wirtualnej.
Podczas dodawania reguł sieci wirtualnej lub zapór ustaw wartość defaultAction na Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Rule"
}
},
"subnetName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Sub Net"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2017-09-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Network/virtualNetworks",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/23"
]
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "10.0.0.0/23",
"serviceEndpoints": [
{
"service": "Microsoft.EventHub"
}
]
}
}
]
}
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkruleset",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules":
[
{
"subnet": {
"id": "[variables('subNetId')]"
},
"ignoreMissingVnetServiceEndpoint": false
}
],
"ipRules":[],
"trustedServiceAccessEnabled": false
}
}
],
"outputs": { }
}
Aby wdrożyć szablon, postępuj zgodnie z instrukcjami dotyczącymi usługi Azure Resource Manager.
Ważne
Jeśli nie ma reguł adresów IP i sieci wirtualnej, cały ruch przepływa do przestrzeni nazw, nawet jeśli ustawiono defaultAction wartość deny. Dostęp do przestrzeni nazw można uzyskać za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu). Określ co najmniej jedną regułę adresu IP lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej.
Interfejs wiersza polecenia platformy Azure
Użyj az eventhubs namespace network-rule-set poleceń dodawania, wyświetlania listy, aktualizowania i usuwania, aby zarządzać regułami sieci wirtualnej dla przestrzeni nazw usługi Service Bus.
Korzystanie z programu Azure PowerShell
Użyj następujących poleceń programu Azure PowerShell, aby dodać, wyświetlić listę, usunąć, zaktualizować i usunąć reguły sieciowe dla przestrzeni nazw usługi Service Bus.
Add-AzEventHubVirtualNetworkRuleaby dodać regułę sieci wirtualnej.New-AzEventHubVirtualNetworkRuleConfigiSet-AzEventHubNetworkRuleSetrazem, aby dodać regułę sieci wirtualnej.Remove-AzEventHubVirtualNetworkRuleaby usunąć regułę sieci wirtualnej.
domyślna akcja i dostęp do sieci publicznej
Interfejs API REST
Wartość domyślna właściwości była dla interfejsu defaultAction API w wersji 2021-01-01-preview i starszych.Deny Reguła odmowy nie jest jednak wymuszana, chyba że ustawiono filtry adresów IP lub reguły sieci wirtualnej. Oznacza to, że jeśli nie masz żadnych filtrów adresów IP ani reguł sieci wirtualnej, jest ona traktowana jako Allow.
Od wersji interfejsu API 2021-06-01-preview wartość domyślna defaultAction właściwości to Allow, aby dokładnie odzwierciedlić wymuszanie po stronie usługi. Jeśli domyślna akcja jest ustawiona na Deny, filtry adresów IP i reguły sieci wirtualnej są wymuszane. Jeśli domyślna akcja jest ustawiona na Allow, filtry adresów IP i reguły sieci wirtualnej nie są wymuszane. Usługa zapamiętuje reguły, gdy je wyłączysz, a następnie ponownie włączysz.
Interfejs API w wersji 2021-06-01-preview wprowadza również nową właściwość o nazwie publicNetworkAccess. Jeśli jest ustawiona na Disabledwartość , operacje są ograniczone tylko do linków prywatnych. Jeśli jest ustawiona na Enabledwartość , operacje są dozwolone za pośrednictwem publicznego Internetu.
Aby uzyskać więcej informacji na temat tych właściwości, zobacz Tworzenie lub aktualizowanie zestawu reguł sieci oraz Tworzenie lub aktualizowanie prywatnego punktu końcowego Połączenie ions.
Uwaga
Żadne z powyższych ustawień nie pomija weryfikacji oświadczeń za pośrednictwem sygnatury dostępu współdzielonego lub uwierzytelniania firmy Microsoft Entra. Sprawdzanie uwierzytelniania zawsze jest uruchamiane po zweryfikowaniu przez usługę kontroli sieci skonfigurowanych przez defaultActionustawienia , . publicNetworkAccessprivateEndpointConnections
Azure Portal
Witryna Azure Portal zawsze używa najnowszej wersji interfejsu API do pobierania i ustawiania właściwości. Jeśli wcześniej skonfigurowano przestrzeń nazw przy użyciu wersji 2021-01-01-preview i wcześniejszej z ustawioną wartością defaultActionDenyi określono zerowe filtry adresów IP i reguły sieci wirtualnej, portal wcześniej sprawdziłby wybrane sieci na stronie Sieć przestrzeni nazw. Teraz sprawdza opcję Wszystkie sieci .
Następne kroki
Aby uzyskać więcej informacji na temat sieci wirtualnych, zobacz następujące linki: