Tillåt åtkomst till Azure Event Hubs från specifika IP-adresser eller intervall
Som standard är Event Hubs tillgängliga från Internet så länge begäran levereras med giltig autentisering och auktorisering. Med IP-brandväggen kan du begränsa den ytterligare till endast en uppsättning IPv4-adresser eller IPv4-adressintervall i CIDR-notation (Classless Inter-Domain Routing).
Den här funktionen är användbar i scenarier Azure Event Hubs bör endast vara tillgänglig från vissa välkända webbplatser. Med brandväggsregler kan du konfigurera regler för att acceptera trafik från specifika IPv4-adresser. Om du till exempel använder Event Hubs med Azure ExpressRoute kan du skapa en brandväggsregel som endast tillåter trafik från dina lokala infrastruktur-IP-adresser.
IP-brandväggsregler
IP-brandväggsreglerna tillämpas på Event Hubs namnområdesnivå. Reglerna gäller därför för alla anslutningar från klienter som använder alla protokoll som stöds. Alla anslutningsförsök från en IP-adress som inte matchar en tillåten IP-regel på Event Hubs-namnområdet avvisas som obehöriga. IP-regeln nämns inte i svaret. IP-filterregler tillämpas i ordning och den första regeln som matchar IP-adressen avgör åtgärden för att godkänna eller avvisa.
Viktiga punkter
- Den här funktionen stöds inte på basic-nivån.
- När brandväggsregler för din Event Hubs blockeras inkommande begäranden som standard, såvida inte begäranden kommer från en tjänst som fungerar från tillåtna offentliga IP-adresser. Blockerade begäranden är bland annat från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare. Som ett undantag kan du tillåta åtkomst till Event Hubs från vissa betrodda tjänster även när IP-filtrering är aktiverat. En lista över betrodda tjänster finns i Trusted Microsoft-tjänster.
- Ange minst en IP-brandväggsregel eller regel för virtuellt nätverk för namnområdet för att endast tillåta trafik från de angivna IP-adresserna eller undernätet för ett virtuellt nätverk. Om det inte finns några IP- och virtuella nätverksregler kan namnområdet nås via det offentliga Internet (med hjälp av åtkomstnyckeln).
Använda Azure-portalen
Det här avsnittet visar hur du använder Azure Portal för att skapa IP-brandväggsregler för ett Event Hubs namnområde.
Gå till Event Hubs namnområdet i Azure Portal.
Välj Nätverk under Inställningar på den vänstra menyn.
Varning
Om du väljer alternativet Valda nätverk och inte lägger till minst en IP-brandväggsregel eller ett virtuellt nätverk på den här sidan kan namnområdet nås via offentligt Internet (med åtkomstnyckeln).
Om du väljer alternativet Alla nätverk accepterar händelsehubben anslutningar från alla IP-adresser (med hjälp av åtkomstnyckeln). Den här inställningen motsvarar en regel som accepterar IP-adressintervallet 0.0.0.0/0.
Om du vill begränsa åtkomsten till specifika IP-adresser bekräftar du att alternativet Valda nätverk är markerat. I avsnittet Brandvägg följer du dessa steg:
- Välj alternativet Lägg till klientens IP-adress för att ge din aktuella klient-IP åtkomst till namnområdet.
- För adressintervall anger du en specifik IPv4-adress eller ett intervall med IPv4-adress i CIDR-notation.
Varning
Om du väljer alternativet Valda nätverk och inte lägger till minst en IP-brandväggsregel eller ett virtuellt nätverk på den här sidan kan namnområdet nås via offentligt Internet (med åtkomstnyckeln).
Ange om du vill tillåta betrodda Microsoft-tjänster kringgå brandväggen. Se Betrodda Microsoft-tjänster för mer information.
Välj Spara i verktygsfältet för att spara inställningarna. Vänta några minuter tills bekräftelsen visas i portalmeddelandena.
Anteckning
Information om hur du begränsar åtkomsten till specifika virtuella nätverk finns i Tillåt åtkomst från specifika nätverk.
Betrodda Microsoft-tjänster
När du aktiverar inställningen Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen beviljas följande tjänster åtkomst till dina Event Hubs resurser.
| Betrodd tjänst | Användningsscenarier som stöds |
|---|---|
| Azure Event Grid | Tillåter Azure Event Grid att skicka händelser till händelsehubbbar i Event Hubs namnområdet. Du måste också göra följande:
Mer information finns i Händelseleverans med en hanterad identitet |
| Azure Monitor (diagnostik Inställningar och åtgärdsgrupper) | Tillåter Azure Monitor att skicka diagnostikinformation och aviseringsmeddelanden till händelsehubbbar i Event Hubs namnområdet. Azure Monitor kan läsa från händelsehubben och även skriva data till händelsehubben. |
| Azure Stream Analytics | Tillåter ett Azure Stream Analytics jobb att läsa data från (indata) eller skriva data till(utdata ) händelsehubbbar i Event Hubs namnområdet. Viktigt! Stream Analytics ska konfigureras för att använda en hanterad identitet för att få åtkomst till händelsehubben. Mer information finns i Använda hanterade identiteter för att komma åt Händelsehubb från ett Azure Stream Analytics-jobb (förhandsversion). |
| Azure IoT Hub | Tillåter IoT Hub att skicka meddelanden till händelsehubbbar i händelsehubbens namnområde. Du måste också göra följande:
|
| Azure API Management | Med API Management-tjänsten kan du skicka händelser till en händelsehubb i Event Hubs namnområdet.
|
| Azure IoT Central | Tillåter IoT Central exportera data till händelsehubbbar i händelsehubbens namnområde. Du måste också göra följande:
|
Använda Resource Manager-mallar
Viktigt
Brandväggsfunktionen stöds inte på basic-nivån.
Med följande Resource Manager kan du lägga till en IP-filterregel i ett Event Hubs namnområde.
ipMask i mallen är en enskild IPv4-adress eller ett block med IP-adresser i CIDR-notation. I CIDR-notation representerar till exempel 70.37.104.0/24 de 256 IPv4-adresserna från 70.37.104.0 till 70.37.104.255, med 24 som anger antalet signifikanta prefix bitar för intervallet.
När du lägger till regler för virtuellt nätverk eller brandväggar anger du värdet defaultAction för till Deny .
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkrulesets",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"virtualNetworkRules": [<YOUR EXISTING VIRTUAL NETWORK RULES>],
"ipRules":
[
{
"ipMask":"10.1.1.1",
"action":"Allow"
},
{
"ipMask":"11.0.0.0/24",
"action":"Allow"
}
],
"trustedServiceAccessEnabled": false,
"defaultAction": "Deny"
}
}
],
"outputs": { }
}
Om du vill distribuera mallen följer du anvisningarna för att Azure Resource Manager.
Viktigt
Om det inte finns några IP- och virtuella nätverksregler flödar all trafik till namnområdet även om du anger defaultAction till deny . Namnområdet kan nås via det offentliga Internet (med hjälp av åtkomstnyckeln). Ange minst en IP-regel eller regel för virtuellt nätverk för namnområdet för att endast tillåta trafik från de angivna IP-adresserna eller undernätet för ett virtuellt nätverk.
Nästa steg
Information om hur du begränsar åtkomst Event Hubs till virtuella Azure-nätverk finns i följande länk: