Использование правил брандмауэраUse Firewall rules

Для сценариев, в которых Центры событий Azure должны быть доступны только из определенных известных сайтов, правила брандмауэра позволяют настроить правила для разрешения трафика, поступающего с определенных адресов IPv4.For scenarios in which Azure Event Hubs should be only accessible from certain well-known sites, firewall rules enable you to configure rules for accepting traffic originating from specific IPv4 addresses. Например, это могут быть адреса корпоративного шлюза NAT.For example, these addresses may be those of a corporate NAT gateway.

Сценарии использованияWhen to use

Если нужно настроить пространство имен Центров событий так, чтобы оно получало трафик только из указанного диапазона IP-адресов и игнорировало любой другой трафик, можно воспользоваться правилом брандмауэра, чтобы заблокировать конечные точки Центров событий с других IP-адресов.If you are looking to setup your Event Hubs namespace such that it should receive traffic from only a specified range of IP addresses and reject everything else, then you can leverage a Firewall rule to block Event Hub endpoints from other IP addresses. Например, при использовании Центров событий с помощью Azure Express Route можно создать правило брандмауэра, ограничивающее трафик с IP-адресов в локальной инфраструктуре.For example, if you use Event Hubs with Azure Express Route, you can create a Firewall rule to restrict the traffic from your on-premises infrastructure IP addresses.

Применение правил фильтрацииHow filter rules are applied

Правила фильтрации IP-адресов применяются на уровне пространства имен Центров событий.The IP filter rules are applied at the Event Hubs namespace level. Поэтому они действуют для всех клиентских подключений по любым поддерживаемым протоколам.Therefore, the rules apply to all connections from clients using any supported protocol.

Любые попытки подключения с IP-адреса, который не соответствует правилу разрешения IP-адресов для пространства имен Центров событий, отклоняются.Any connection attempt from an IP address that does not match an allowed IP rule on the Event Hubs namespace is rejected as unauthorized. В ответе клиенту правило фильтрации IP-адресов не упоминается.The response does not mention the IP rule.

Значение по умолчаниюDefault setting

По умолчанию раздел Фильтрация IP-адресов на портале для Центров событий пуст.By default, the IP Filter grid in the portal for Event Hubs is empty. Этот означает, что по умолчанию концентратор событий принимает подключения с любых IP-адресов.This default setting means that your event hub accepts connections from any IP address. То есть, такое значение параметра по умолчанию равноценно правилу, которое принимает диапазон IP-адресов 0.0.0.0/0.This default setting is equivalent to a rule that accepts the 0.0.0.0/0 IP address range.

Оценка правила фильтрации IP-адресовIP filter rule evaluation

Правила фильтрации IP-адресов применяются по порядку, поэтому первое правило, которое соответствует IP-адресу, определяет действие (принять или отклонить).IP filter rules are applied in order, and the first rule that matches the IP address determines the accept or reject action.

Предупреждение

Реализация брандмауэров может предотвратить взаимодействие с Центрами событий других служб Azure.Implementing Firewalls can prevent other Azure services from interacting with Event Hubs.

Доверенные службы Майкрософт не поддерживаются, если реализована фильтрация IP (брандмауэры). Их поддержка будет доступна в ближайшее время.Trusted Microsoft services are not supported when IP Filtering (Firewalls) are implemented, and will be made available soon.

Распространенные сценарии Azure, которые не работают с фильтрацией IP (обратите внимание, что список НЕ является исчерпывающим):Common Azure scenarios that don't work with IP Filtering (note that the list is NOT exhaustive) -

  • Azure MonitorAzure Monitor
  • Azure Stream AnalyticsAzure Stream Analytics
  • Интеграция со службой "Сетка событий Azure".Integration with Azure Event Grid
  • Маршруты Центра Интернета вещей Azure.Azure IoT Hub Routes
  • Device Explorer Интернета вещей Azure.Azure IoT Device Explorer
  • Обозреватель данных AzureAzure Data Explorer

В виртуальной сети должны присутствовать следующие службы Майкрософт:The below Microsoft services are required to be on a virtual network

  • Веб-приложения Azure.Azure Web Apps
  • Функции AzureAzure Functions

Создание правила брандмауэра с использованием шаблонов Azure Resource ManagerCreating a Firewall rule with Azure Resource Manager templates

Важно!

Правила брандмауэра поддерживаются на стандартном и выделенном уровнях Центров событий.Firewall rules are supported in standard and dedicated tiers of Event Hubs. В "базовом" уровне не поддерживается.It's not supported in basic tier.

Следующий шаблон Resource Manager позволяет добавить правило фильтрации IP-адресов в существующее пространство имен Центров событий.The following Resource Manager template enables adding an IP filter rule to an existing Event Hubs namespace.

Параметры шаблона:Template parameters:

  • Зачение ipMask — это один IPv4-адрес или блок IP-адресов в нотации CIDR.ipMask is a single IPv4 address or a block of IP addresses in CIDR notation. Например, значение 70.37.104.0/24 в нотации CIDR представляет 256 IPv4-адресов в диапазоне от 70.37.104.0 до 70.37.104.255. Число 24 обозначает количество значимых битов префикса для адресов этого диапазона.For example, in CIDR notation 70.37.104.0/24 represents the 256 IPv4 addresses from 70.37.104.0 to 70.37.104.255, with 24 indicating the number of significant prefix bits for the range.

Примечание

Хотя запрещающие правила отсутствуют, в шаблоне Azure Resource Manager для действия по умолчанию установлено значение Allow, которое не ограничивает подключения.While there are no deny rules possible, the Azure Resource Manager template has the default action set to "Allow" which doesn't restrict connections. При создании правил виртуальной сети или брандмауэров необходимо изменить значение параметра defaultAction.When making Virtual Network or Firewalls rules, we must change the "defaultAction"

Отfrom

"defaultAction": "Allow"

значениеto

"defaultAction": "Deny"
{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "eventhubNamespaceName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Event Hubs namespace"
        }
      },
      "location": {
        "type": "string",
        "metadata": {
          "description": "Location for Namespace"
        }
      }
    },
    "variables": {
      "namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
    },
    "resources": [
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[parameters('eventhubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Standard",
          "tier": "Standard"
        },
        "properties": { }
      },
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[variables('namespaceNetworkRuleSetName')]",
        "type": "Microsoft.EventHub/namespaces/networkruleset",
        "dependsOn": [
          "[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
        ],
        "properties": {
          "virtualNetworkRules": [<YOUR EXISTING VIRTUAL NETWORK RULES>],
          "ipRules": 
          [
            {
                "ipMask":"10.1.1.1",
                "action":"Allow"
            },
            {
                "ipMask":"11.0.0.0/24",
                "action":"Allow"
            }
          ],
          "defaultAction": "Deny"
        }
      }
    ],
    "outputs": { }
  }

Инструкции по развертыванию шаблона см. в статье Развертывание ресурсов с использованием шаблонов Resource Manager и Azure PowerShell.To deploy the template, follow the instructions for Azure Resource Manager.

Дальнейшие действияNext steps

Инструкции по ограничению доступа к Центрам событий из виртуальных сетей Azure, см. по следующей ссылке:For constraining access to Event Hubs to Azure virtual networks, see the following link: