Belirli IP adreslerinden Azure Event Hubs ad alanlarına erişime izin ver
varsayılan olarak, Event Hubs kimlik doğrulaması ve yetkilendirme ile birlikte geldiği sürece ad alanlarına İnternet'den erişilebilir. IP güvenlik duvarı ile, CIDR (Sınıfsız Ağ Yönlendirme) notasyonunda bunu yalnızca bir dizi IPv4 adresi veya IPv4 adres aralığıyla Inter-Domain kısıtabilirsiniz.
Bu özellik, yalnızca bilinen Azure Event Hubs sitelerden erişilebilir olması gereken senaryolarda yararlıdır. Güvenlik duvarı kuralları, kuralları belirli IPv4 adreslerinden gelen trafiği kabul etmek üzere yapılandırmaya olanak sağlar. Örneğin, Azure Express RouteEvent Hubs kullanarak yalnızca şirket içi altyapı IP adreslerinden gelen trafiğe izin verecek bir güvenlik duvarı kuralı oluşturabilirsiniz.
IP güvenlik duvarı kuralları
IP güvenlik duvarı kuralları, ad alanı Event Hubs uygulanır. Bu nedenle, kurallar desteklenen herhangi bir protokolü kullanan istemcilerden gelen tüm bağlantılar için geçerlidir. Ad alanı üzerinde izin verilen BIR IP kuralıyla eşleşmeyecek bir IP Event Hubs bağlantı girişimi yetkisiz olarak reddedilir. Yanıtta IP kuralından bahsedilir. IP filtresi kuralları sırayla uygulanır ve IP adresiyle eşleşen ilk kural kabul etme veya reddetme eylemlerini belirler.
Önemli noktalar
- Bu özellik temel katmanda desteklenmiyor.
- İstekler izin verilen genel IP adreslerinden Event Hubs hizmetten kaynaklandığı sürece, varsayılan olarak, güvenlik duvarınız için güvenlik duvarı kurallarının açık olduğu ad alanı gelen istekleri engeller. Engellenen istekler, diğer Azure hizmetlerinden, Azure portal ve ölçüm hizmetlerinden gelen istekleri içerir. Özel durum olarak, IP filtrelemesi Event Hubs bile belirli güvenilen hizmetlerden kaynaklara erişime izin veebilirsiniz. Güvenilen hizmetlerin listesi için bkz. Güvenilen Microsoft hizmetleri.
- Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağına gelen trafiğe izin vermek için en az bir IP güvenlik duvarı kuralı veya sanal ağ kuralı belirtin. IP ve sanal ağ kuralı yoksa, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).
Azure portalı kullanma
Bu bölümde, Azure portal ad alanı için IP güvenlik duvarı kuralları oluşturmak üzere Event Hubs gösterir.
içinde Event Hubs ad alanınıza Azure portal.
Sol menüde Yer Ayarlar Ağ'ı seçin.
Uyarı
Seçili ağlar seçeneğini kullanırsanız ve bu sayfaya en az bir IP güvenlik duvarı kuralı veya sanal ağ eklemezseniz, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).
Tüm ağlar seçeneğini belirtirseniz, olay hub'ı herhangi bir IP adresine (erişim anahtarını kullanarak) gelen bağlantıları kabul eder. Bu ayar, 0.0.0.0/0 IP adresi aralığını kabul eden bir kurala eşdeğerdir.
Belirli IP adreslerine erişimi kısıtlamak için Seçili ağlar seçeneğinin seçili olduğunu onaylayın. Güvenlik Duvarı bölümünde şu adımları izleyin:
- Geçerli istemci IP'nize ad alanı erişimi vermek için İstemci IP adresinizi ekle seçeneğini belirleyin.
- Adres aralığı için, CIDR notasyonunda belirli bir IPv4 adresi veya IPv4 adresi aralığı girin.
Uyarı
Seçili ağlar seçeneğini kullanırsanız ve bu sayfaya en az bir IP güvenlik duvarı kuralı veya sanal ağ eklemezseniz, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).
Bu güvenlik duvarını atlamak için güvenilen Microsoft hizmetleri izin vermek isteyip istemediklerini belirtin. Ayrıntılar için bkz. Microsoft hizmetleri güvenilir güvenlik bilgileri.
Ayarları kaydetmek için araç çubuğunda Kaydet'i seçin. Onayın portal bildirimlerde gösterilmesi için birkaç dakika bekleyin.
Not
Belirli sanal ağlara erişimi kısıtlamak için bkz. Belirli ağlardan erişime izin ver.
Güvenilen Microsoft hizmetleri
Güvenilen kullanıcıların bu güvenlik duvarı Microsoft hizmetleri izin ver ayarını etkinleştirseniz, aşağıdaki hizmetlere güvenlik duvarı kaynaklarınıza erişim Event Hubs olur.
| Güvenilen hizmet | Desteklenen kullanım senaryoları |
|---|---|
| Azure Event Grid | Olay Azure Event Grid ad alanınız içinde olay hub'larına Event Hubs sağlar. Ayrıca aşağıdaki adımları da gerçekleştirebilirsiniz:
Daha fazla bilgi için bkz. Yönetilen kimlikle olay teslimi |
| Azure İzleyici (Tanılama Ayarlar ve Eylem Grupları) | Azure İzleyici ad alanınız içinde olay hub'larına tanılama bilgileri ve uyarı bildirimleri Event Hubs sağlar. Azure İzleyici hub'ını okuyabilir ve olay hub'ını veri yazabilir. |
| Azure Stream Analytics | Bir Azure Stream Analytics işinin, veri ad alanınıza veriokumasını( giriş ) veyaveriyazmasını ( çıkış ) Event Hubs sağlar. Önemli: Stream Analytics iş, olay hub'larına erişmek için yönetilen kimlik kullanmak üzere yapılandırıldı. Daha fazla bilgi için bkz. Olay Hub'larına erişmekiçin yönetilen kimlikleri Azure Stream Analytics işi (Önizleme) . |
| Azure IoT Hub | Olay IoT Hub hub'ı ad alanınıza ileti göndermenizi sağlar. Ayrıca aşağıdaki adımları da gerçekleştirebilirsiniz:
|
| Azure API Management | API Management hizmeti, olay hub'ını kendi ad alanınıza Event Hubs sağlar.
|
| Azure IoT Central | Verileri IoT Central Hub'ı ad alanınıza aktarmanıza izin verir. Ayrıca aşağıdaki adımları da gerçekleştirebilirsiniz:
|
Resource Manager şablonu kullanma
Önemli
Güvenlik duvarı özelliği temel katmanda desteklenmiyor.
Aşağıdaki Resource Manager, mevcut bir ad alanına IP filtresi kuralı Event Hubs sağlar.
Şablonda ipMask tek bir IPv4 adresi veya CIDR notasyonunda bir IP adresi bloğudur. Örneğin, CIDR 70.37.104.0/24'te 70.37.104.0'dan 70.37.104.255'e kadar olan 256 IPv4 adresini temsil eder ve aralık için önemli ön ek bitlerinin sayısını gösterir.
Sanal ağ veya güvenlik duvarı kuralları eklerken değerini olarak defaultAction Deny ayarlayın.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkrulesets",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"virtualNetworkRules": [<YOUR EXISTING VIRTUAL NETWORK RULES>],
"ipRules":
[
{
"ipMask":"10.1.1.1",
"action":"Allow"
},
{
"ipMask":"11.0.0.0/24",
"action":"Allow"
}
],
"trustedServiceAccessEnabled": false,
"defaultAction": "Deny"
}
}
],
"outputs": { }
}
Şablonu dağıtmak için Azure Resource Manager.
Önemli
IP ve sanal ağ kuralı yoksa, olarak ayarlasanız bile tüm trafik ad alanına defaultAction deny akar. Ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak). Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağına gelen trafiğe izin vermek için en az bir IP kuralı veya sanal ağ kuralı belirtin.
Sonraki adımlar
Azure sanal ağlarına erişimi Event Hubs için aşağıdaki bağlantıya bakın: