Zezwalaj na dostęp do Azure Service Bus przestrzeni nazw z określonych adresów IP lub zakresów

Domyślnie Service Bus przestrzenie nazw są dostępne z Internetu, o ile żądanie jest dostarczane z prawidłowym uwierzytelnianiem i autoryzacją. Za pomocą zapory ip można ograniczyć go dalej tylko do zestawu adresów IPv4 lub zakresów adresów IPv4 w notacji CIDR (bezklasowa Inter-Domain routingu).

Ta funkcja jest przydatna w scenariuszach, w których Azure Service Bus powinny być dostępne tylko z niektórych dobrze znanych witryn. Reguły zapory umożliwiają konfigurowanie reguł akceptowania ruchu pochodzącego z określonych adresów IPv4. Jeśli na przykład używasz Service Bus z usługą Azure Express Route, możesz utworzyć regułę zapory, aby zezwolić na ruch tylko z lokalnych adresów IP infrastruktury lub adresów firmowej bramy translatora adresów sieciowych.

Reguły zapory bazujące na adresach IP

Reguły zapory adresów IP są stosowane na poziomie Service Bus przestrzeni nazw. W związku z tym reguły mają zastosowanie do wszystkich połączeń od klientów przy użyciu dowolnego obsługiwanego protokołu (AMQP (5671) i HTTPS (443)). Każda próba połączenia z adresu IP, który nie jest zgodny z dozwoloną regułą ip w przestrzeni nazw Service Bus, jest odrzucany jako nieautoryzowany. Odpowiedź nie wspomina o regule adresu IP. Reguły filtrowania adresów IP są stosowane w kolejności, a pierwsza reguła zgodna z adresem IP określa akcję akceptowania lub odrzucania.

Ważne rzeczy, na które należy zwrócić uwagę

  • Zapory i sieci wirtualne są obsługiwane tylko w warstwie Premium Service Bus. Jeśli uaktualnienie do warstwy Premier nie jest opcją, zalecamy zabezpieczenie tokenu sygnatury dostępu współdzielonego (SAS) i udostępnianie go tylko autoryzowanym użytkownikom. Aby uzyskać informacje na temat uwierzytelniania sas, zobacz Uwierzytelnianie i autoryzacja.

  • Określ co najmniej jedną regułę zapory IP lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej. Jeśli nie ma reguł adresów IP i sieci wirtualnej, przestrzeń nazw może być dostępna za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).

  • Implementowanie reguł zapory może uniemożliwić innym usługom platformy Azure interakcję z Service Bus. W ramach wyjątku można zezwolić na dostęp do Service Bus zasobów z niektórych zaufanych usług nawet po włączeniu filtrowania adresów IP. Aby uzyskać listę zaufanych usług, zobacz Zaufane usługi.

    Następujące usługi firmy Microsoft muszą znajdować się w sieci wirtualnej

    • Azure App Service
    • Azure Functions

Korzystanie z witryny Azure Portal

W tej sekcji przedstawiono sposób używania Azure Portal do tworzenia reguł zapory adresów IP dla przestrzeni nazw Service Bus.

  1. Przejdź do przestrzeni nazw Service Bus w Azure Portal.

  2. W menu po lewej stronie wybierz opcję Sieć w obszarze Ustawienia.

    Uwaga

    Zostanie wyświetlona karta Sieć tylko dla przestrzeni nazw w warstwie Premium .

  3. Na stronie Sieć w obszarze Dostęp do sieci publicznej można ustawić jedną z trzech następujących opcji. Wybierz opcję Wybrane sieci , aby zezwolić na dostęp tylko z określonych adresów IP.

    • Wyłączone. Ta opcja wyłącza publiczny dostęp do przestrzeni nazw. Przestrzeń nazw będzie dostępna tylko za pośrednictwem prywatnych punktów końcowych.

      Networking page - public access tab - public network access is disabled.

    • Wybrane sieci. Ta opcja umożliwia publiczny dostęp do przestrzeni nazw przy użyciu klucza dostępu z wybranych sieci.

      Ważne

      W przypadku wybrania opcji Wybrane sieci dodaj co najmniej jedną regułę zapory IP lub sieć wirtualną, która będzie miała dostęp do przestrzeni nazw. Wybierz pozycję Wyłączone , jeśli chcesz ograniczyć cały ruch do tej przestrzeni nazw tylko za pośrednictwem prywatnych punktów końcowych .

      Networking page with the selected networks option selected.

    • Wszystkie sieci (wartość domyślna). Ta opcja umożliwia dostęp publiczny ze wszystkich sieci przy użyciu klucza dostępu. Jeśli wybierzesz opcję Wszystkie sieci, Service Bus akceptuje połączenia z dowolnego adresu IP (przy użyciu klucza dostępu). To ustawienie jest równoważne regule, która akceptuje zakres adresów IP 0.0.0.0/0.

      Screenshot of the Azure portal Networking page. The option to allow access from All networks is selected on the Firewalls and virtual networks tab.

  4. Aby zezwolić na dostęp tylko z określonego adresu IP, wybierz opcję Wybrane sieci , jeśli nie została jeszcze wybrana. W sekcji Zapora wykonaj następujące kroki:

    1. Wybierz opcję Dodaj adres IP klienta , aby nadać bieżącemu adresowi IP klienta dostęp do przestrzeni nazw.

    2. W polu Zakres adresów wprowadź określony adres IPv4 lub zakres adresu IPv4 w notacji CIDR.

    3. Określ, czy chcesz zezwolić zaufanym usługi firmy Microsoft na obejście tej zapory.

      Ostrzeżenie

      Jeśli wybierzesz opcję Wybrane sieci i nie dodasz co najmniej jednej reguły zapory IP ani sieci wirtualnej na tej stronie, przestrzeń nazw będzie dostępna za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).

      Screenshot of the Azure portal Networking page. The option to allow access from Selected networks is selected and the Firewall section is highlighted.

  5. Wybierz pozycję Zapisz na pasku narzędzi, aby zapisać ustawienia. Poczekaj kilka minut na wyświetlenie potwierdzenia w powiadomieniach portalu.

    Uwaga

    Aby ograniczyć dostęp do określonych sieci wirtualnych, zobacz Zezwalaj na dostęp z określonych sieci.

Zaufana usługi firmy Microsoft

Po włączeniu ustawienia Zezwalaj zaufanym usługi firmy Microsoft na obejście tego ustawienia zapory dostęp do zasobów Service Bus otrzymują następujące usługi.

Zaufana usługa Obsługiwane scenariusze użycia
Azure Event Grid Umożliwia Azure Event Grid wysyłanie zdarzeń do kolejek lub tematów w przestrzeni nazw Service Bus. Należy również wykonać następujące czynności:
  • Włączanie tożsamości przypisanej przez system dla tematu lub domeny
  • Dodawanie tożsamości do roli nadawcy danych Azure Service Bus w przestrzeni nazw Service Bus
  • Następnie skonfiguruj subskrypcję zdarzeń, która używa kolejki Service Bus lub tematu jako punktu końcowego do korzystania z tożsamości przypisanej przez system.

Aby uzyskać więcej informacji, zobacz Dostarczanie zdarzeń z tożsamością zarządzaną

Usługa Azure API Management

Usługa API Management umożliwia wysyłanie komunikatów do kolejki/tematu Service Bus w przestrzeni nazw Service Bus.

Azure IoT Central

Umożliwia usłudze IoT Central eksportowanie danych do Service Bus kolejek lub tematów w przestrzeni nazw Service Bus. Należy również wykonać następujące czynności:

Azure IoT Hub Umożliwia usłudze IoT Hub wysyłanie komunikatów do kolejek lub tematów w przestrzeni nazw Service Bus. Należy również wykonać następujące czynności:

Używanie szablonu usługi Resource Manager

Ta sekcja zawiera przykładowy szablon usługi Azure Resource Manager, który dodaje sieć wirtualną i regułę zapory do istniejącej przestrzeni nazw Service Bus.

IpMask to pojedynczy adres IPv4 lub blok adresów IP w notacji CIDR. Na przykład w notacji CIDR 70.37.104.0/24 reprezentuje 256 adresów IPv4 z 70.37.104.0 do 70.37.104.255, z 24 wskazującą liczbę znaczących bitów prefiksu dla zakresu.

Uwaga

Wartość domyślna elementu defaultAction to Allow. Podczas dodawania reguł sieci wirtualnej lub zapór upewnij się, że ustawiono wartość defaultActionDeny.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "serviceBusNamespaceName": {
            "defaultValue": "contososbusns",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.ServiceBus/namespaces",
            "apiVersion": "2021-06-01-preview",
            "name": "[parameters('serviceBusNamespaceName')]",
            "location": "East US",
            "sku": {
                "name": "Premium",
                "tier": "Premium",
                "capacity": 1
            },
            "properties": {
                "disableLocalAuth": false,
                "zoneRedundant": true
            }
        },
        {
            "type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
            "apiVersion": "2021-06-01-preview",
            "name": "[concat(parameters('serviceBusNamespaceName'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.ServiceBus/namespaces', parameters('serviceBusNamespaceName'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Allow",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask":"10.1.1.1",
                        "action":"Allow"
                    },
                    {
                        "ipMask":"11.0.0.0/24",
                        "action":"Allow"
                    }
                ]
            }
        }
    ]
}

Aby wdrożyć szablon, postępuj zgodnie z instrukcjami dotyczącymi usługi Azure Resource Manager.

Ważne

Jeśli nie ma reguł adresów IP i sieci wirtualnej, cały ruch przepływa do przestrzeni nazw, nawet jeśli ustawiono wartość defaultActiondeny. Dostęp do przestrzeni nazw można uzyskać za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu). Określ co najmniej jedną regułę ip lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej.

domyślna akcja i dostęp do sieci publicznej

Interfejs API REST

Wartość domyślna właściwości była przeznaczona dla interfejsu defaultAction API w wersji 2021-01-01-preview i starszych.Deny Reguła odmowy nie jest jednak wymuszana, chyba że ustawiono filtry IP lub reguły sieci wirtualnej. Oznacza to, że jeśli nie masz żadnych filtrów IP ani reguł sieci wirtualnej, jest ona traktowana jako Allow.

Od wersji interfejsu API 2021-06-01-preview wartość domyślna defaultAction właściwości to Allow, aby dokładnie odzwierciedlić wymuszanie po stronie usługi. Jeśli domyślna akcja jest ustawiona na Deny, filtry IP i reguły sieci wirtualnej są wymuszane. Jeśli domyślna akcja jest ustawiona na Allow, filtry IP i reguły sieci wirtualnej nie są wymuszane. Usługa zapamiętuje reguły, gdy je wyłączysz, a następnie ponownie włączysz.

Interfejs API w wersji 2021-06-01-preview wprowadza również nową właściwość o nazwie publicNetworkAccess. Jeśli jest ustawiona na Disabledwartość , operacje są ograniczone tylko do łączy prywatnych. Jeśli jest ustawiona na Enabledwartość , operacje są dozwolone za pośrednictwem publicznego Internetu.

Aby uzyskać więcej informacji na temat tych właściwości, zobacz Create or Update Network Rule Set (Tworzenie lub aktualizowanie zestawu reguł sieciowych ) oraz Create or Update Private Endpoint Connections (Tworzenie lub aktualizowanie połączeń prywatnych punktów końcowych).

Uwaga

Żadne z powyższych ustawień nie pomija weryfikacji oświadczeń za pośrednictwem sygnatury dostępu współdzielonego lub uwierzytelniania usługi Azure AD. Sprawdzanie uwierzytelniania zawsze jest uruchamiane po zweryfikowaniu przez usługę kontroli sieci skonfigurowanych przez defaultActionustawienia , privateEndpointConnectionspublicNetworkAccess.

Azure Portal

Azure Portal zawsze używa najnowszej wersji interfejsu API do pobierania i ustawiania właściwości. Jeśli wcześniej skonfigurowano przestrzeń nazw przy użyciu wersji 2021-01-01-preview i starszej z ustawioną wartością defaultActionDeny, oraz określono zerowe filtry adresów IP i reguły sieci wirtualnej, portal wcześniej sprawdził wybrane sieci na stronie Sieci w przestrzeni nazw. Teraz sprawdza opcję Wszystkie sieci .

Screenshot of the Azure portal Networking page. The option to allow access from All networks is selected on the Firewalls and virtual networks tab.

Następne kroki

Aby ograniczyć dostęp do Service Bus z sieciami wirtualnymi platformy Azure, zobacz następujący link: