Belirli sanal ağlardan Azure Event Hubs ad alanlarına erişime izin ver

  • Makale
  • Okumak için 7 dakika

Sanal Event Hubs (VNet) Hizmet Uç Noktaları ile tümleştirmesi, sanal ağlara bağlı sanal makineler gibi iş yüklerinden mesajlaşma özelliklerine güvenli erişim sağlar ve ağ trafiği yolunun her iki uçta da güvenliği sağlanacak.

En az bir sanal ağ alt ağ hizmet uç noktasına bağlanılacak şekilde yapılandırıldığında, ilgili Event Hubs ad alanı artık sanal ağlarda yetkili alt ağlardan gelen trafiği kabul etmez. Sanal ağ perspektifinden bakıldığında, Event Hubs ad alanını bir hizmet uç noktasına bağlama, sanal ağ alt ağına mesajlaşma hizmetine yalıtılmış bir ağ tüneli yapılandırmaktadır.

Sonuçta, mesajlaşma hizmeti uç noktasının gözlemlenebilir ağ adresi genel IP aralığında olmasına rağmen alt ağa bağlı iş yükleri ile ilgili Event Hubs ad alanı arasında özel ve yalıtılmış bir ilişki elde edilir. Bu davranışın bir istisnası vardır. Hizmet uç noktasının etkinleştirilmesi varsayılan olarak sanal denyall ağ ile ilişkilendirilmiş IP güvenlik duvarında kuralın etkinleştirilmesini sağlar. Olay Hub'ı genel uç noktasına erişimi etkinleştirmek için IP güvenlik duvarına belirli IP adresleri ebilirsiniz.

Önemli noktalar

  • Bu özellik temel katmanda desteklenmiyor.
  • İstekler izin verilen sanal ağlardan Event Hubs hizmetten kaynaklandığı sürece, sanal ağların sanal ağlarını etkinleştirmek varsayılan olarak gelen istekleri engeller. Engellenen istekler, diğer Azure hizmetlerinden, Azure portal ve ölçüm hizmetlerinden gelen istekleri içerir. Özel durum olarak, sanal ağlar etkinleştirilse Event Hubs bazı güvenilir hizmetlerden kaynaklara erişim izni veebilirsiniz. Güvenilen hizmetlerin listesi için bkz. Güvenilen hizmetler.
  • Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağına gelen trafiğe izin vermek için en az bir IP kuralı veya sanal ağ kuralı belirtin. IP ve sanal ağ kuralı yoksa, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).

Sanal ağ tümleştirmesi tarafından etkinleştiren gelişmiş güvenlik senaryoları

Sıkı ve bölmeli güvenlik gerektiren çözümler ve sanal ağ alt ağların bölmeli hizmetler arasındaki segmentlere ayrımları sağlamaları için yine de bu bölmelerde bulunan hizmetler arasında iletişim yolları gerekir.

Bölmeler arasında TCP/IP üzerinden HTTPS taşıyanlar da dahil olmak üzere herhangi bir anlık IP yolu, ağ katmanından açıklardan yararlanma riskini taşır. Mesajlaşma hizmetleri, iletilerin taraflar arasında geçiş yapılan diske bile yazıldığı iletişim yolları sağlar. Her ikisi de aynı sanal ağa bağlı olan iki ayrı sanal Event Hubs iş yükleri iletiler aracılığıyla verimli ve güvenilir bir şekilde iletişim kurabilirken ilgili ağ yalıtımı sınır bütünlüğü korunur.

Bu, güvenlike duyarlı bulut çözümlerinizin yalnızca Sektör lideri güvenilir ve ölçeklenebilir zaman uyumsuz mesajlaşma özelliklerine erişim elde etmekle birlikte, https ve TLS ile güvenliği sağlanacak diğer yuva protokolleri de dahil olmak üzere herhangi bir eşler arası iletişim moduyla elde edilebilirden daha güvenli olan güvenli çözüm bölmeleri arasında iletişim yolları oluşturmak için artık mesajlaşmayı kullanabileceği anlamına gelir.

Olay hub'larını sanal ağlara bağlama

Sanal ağ kuralları, belirli bir sanal ağ alt ağına Azure Event Hubs kabul edip etmeyişini kontrol eden güvenlik duvarı özelliğidir.

Sanal Event Hubs bir sanal ağa bağlama iki adımlı bir işlemdir. İlk olarak bir sanal ağın alt ağına sanal ağ hizmet uç noktası oluşturmanız ve hizmet uç noktasına genel bakış makalesinde açıklanan şekilde Microsoft.EventHub için etkinleştirmeniz gerekir. Hizmet uç noktasını eklediktan sonra, bir sanal Event Hubs ad alanını buna bağlarsınız.

Sanal ağ kuralı, sanal ağ alt ağıyla Event Hubs ad alanının bir ilişkilendirmesidir. Kural mevcut olduğu sırada, alt ağ ile ilişkili tüm iş yüklerine Event Hubs erişim izni verir. Event Hubs hiçbir zaman giden bağlantı kurmaz, erişim elde etmek zorunda değildir ve bu nedenle bu kuralı etkinleştirerek alt ağınıza erişim izni verilmez.

Azure portalı kullanma

Bu bölümde, sanal ağ hizmet Azure portal eklemek için sanal makineleri nasıl kullanabileceğiniz açıktır. Erişimi sınırlamak için bu ad alanı için sanal ağ hizmet uç noktasını Event Hubs gerekir.

  1. içinde Event Hubs ad alanınıza Azure portal.

  2. Sol menüde Yer Ayarlar Ağ'ı seçin.

    Uyarı

    Seçili ağlar seçeneğini kullanırsanız ve bu sayfaya en az bir IP güvenlik duvarı kuralı veya sanal ağ eklemezseniz, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).

    Ağlar sekmesi - seçili ağlar seçeneği

    Tüm ağlar seçeneğini belirtirseniz, olay hub'ı herhangi bir IP adresine (erişim anahtarını kullanarak) gelen bağlantıları kabul eder. Bu ayar, 0.0.0.0/0 IP adresi aralığını kabul eden bir kurala eşdeğerdir.

    Güvenlik Duvarı - Tüm ağlar seçeneği seçildi

  3. Belirli ağlara erişimi kısıtlamak için, henüz seçili değilse sayfanın üst kısmında Seçili Ağlar seçeneğini belirleyin.

  4. Sayfanın Sanal Ağ bölümünde +Var olan sanal ağı ekle _ öğesini seçin. Yeni bir sanal ağ oluşturmak için _ + Yeni sanal ağ oluştur * seçeneğini kullanın.

    var olan sanal ağı ekleme

    Uyarı

    Seçili ağlar seçeneğini kullanırsanız ve bu sayfaya en az bir IP güvenlik duvarı kuralı veya sanal ağ eklemezseniz, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).

  5. Sanal ağlar listesinden sanal ağı seçin ve sonra da alt ağın seçin. Sanal ağı listeye eklemeden önce hizmet uç noktasını etkinleştirmeniz gerekir. Hizmet uç noktası etkin değilse portal bunu etkinleştirmeniz istenir.

    alt ağ seçme

  6. Alt ağ için hizmet uç noktası Microsoft.EventHub için etkinleştirildikten sonra aşağıdaki başarılı iletiyi görüyor olun. Ağı eklemek için sayfanın alt kısmından Ekle'yi seçin.

    alt ağı seçin ve uç noktayı etkinleştirin

    Not

    Hizmet uç noktasını etkinleştiremiyorsanız, eksik sanal ağ hizmet uç noktasını Resource Manager yoksayabilirsiniz. Bu işlev portalda kullanılamaz.

  7. Bu güvenlik duvarını atlamak için güvenilen Microsoft hizmetleri izin vermek isteyip istemediklerini belirtin. Ayrıntılar için bkz. Microsoft hizmetleri güvenilir güvenlik bilgileri.

  8. Ayarları kaydetmek için araç çubuğunda Kaydet'i seçin. Onayın portal bildirimlerde gösterilmesi için birkaç dakika bekleyin.

    Ağı kaydetme

    Not

    Belirli IP adreslerine veya aralıklarına erişimi kısıtlamak için bkz. Belirli IP adreslerinden veya aralıklardan erişime izin ver.

Güvenilen Microsoft hizmetleri

Güvenilen kullanıcıların bu güvenlik duvarı Microsoft hizmetleri izin ver ayarını etkinleştirseniz, aşağıdaki hizmetlere güvenlik duvarı kaynaklarınıza erişim Event Hubs olur.

Güvenilen hizmet Desteklenen kullanım senaryoları
Azure Event Grid Olay Azure Event Grid ad alanınız içinde olay hub'larına Event Hubs sağlar. Ayrıca aşağıdaki adımları da gerçekleştirebilirsiniz:
  • Bir konu veya etki alanı için sistem tarafından atanan kimliği etkinleştirme
  • Kimliği, Azure Event Hubs ad alanı üzerinde veri Event Hubs ekleme
  • Ardından sistem tarafından atanan kimliği kullanmak için bir olay hub'ı kullanan olay aboneliğini uç nokta olarak yapılandırabilirsiniz.

Daha fazla bilgi için bkz. Yönetilen kimlikle olay teslimi
Azure İzleyici (Tanılama Ayarlar ve Eylem Grupları) Azure İzleyici ad alanınız içinde olay hub'larına tanılama bilgileri ve uyarı bildirimleri Event Hubs sağlar. Azure İzleyici hub'ını okuyabilir ve olay hub'ını veri yazabilir.
Azure Stream Analytics Bir Azure Stream Analytics işinin, veri ad alanınıza veriokumasını( giriş ) veyaveriyazmasını ( çıkış ) Event Hubs sağlar.

Önemli: Stream Analytics iş, olay hub'larına erişmek için yönetilen kimlik kullanmak üzere yapılandırıldı. Daha fazla bilgi için bkz. Olay Hub'larına erişmekiçin yönetilen kimlikleri Azure Stream Analytics işi (Önizleme) .

Azure IoT Hub Olay IoT Hub hub'ı ad alanınıza ileti göndermenizi sağlar. Ayrıca aşağıdaki adımları da gerçekleştirebilirsiniz:
  • IoT hub'nız için sistem tarafından atanan kimliği etkinleştirme
  • Kimliği, Event Hubs ad Azure Event Hubs Veri Göndericisi rolüne ekleyin.
  • Daha sonra, IoT Hub tabanlı kimlik doğrulamasını kullanmak için özel uç nokta olarak bir olay hub'ı kullanan güvenlik doğrulamasını yapılandırabilirsiniz.
Azure API Management

API Management hizmeti, olay hub'ını kendi ad alanınıza Event Hubs sağlar.
Azure IoT Central

Verileri IoT Central Hub'ı ad alanınıza aktarmanıza izin verir. Ayrıca aşağıdaki adımları da gerçekleştirebilirsiniz:

  • Uygulama uygulamanıza sistem tarafından atanan IoT Central etkinleştirin.
  • Kimliği, veri Azure Event Hubs veri göndericisi rolüne Event Hubs ekleyin.
  • Ardından, kimlik Event Hubs kullanmak için IoT Central hedefini yapılandırabilirsiniz.

Resource Manager şablonu kullanma

Aşağıdaki örnek Resource Manager şablonu, var olan bir sanal ağ Event Hubs ekler. Ağ kuralı için, sanal ağ içinde bir alt ağın kimliğini belirtir.

Kimlik, sanal ağ alt ağı Resource Manager tam erişim yoludur. Örneğin, /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default bir sanal ağın varsayılan alt ağı için.

Sanal ağ veya güvenlik duvarı kuralları eklerken değerini olarak defaultAction Deny ayarlayın.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "eventhubNamespaceName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Event Hubs namespace"
        }
      },
      "virtualNetworkName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Rule"
        }
      },
      "subnetName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Sub Net"
        }
      },
      "location": {
        "type": "string",
        "metadata": {
          "description": "Location for Namespace"
        }
      }
    },
    "variables": {
      "namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
      "subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
    },
    "resources": [
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[parameters('eventhubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Standard",
          "tier": "Standard"
        },
        "properties": { }
      },
      {
        "apiVersion": "2017-09-01",
        "name": "[parameters('virtualNetworkName')]",
        "location": "[parameters('location')]",
        "type": "Microsoft.Network/virtualNetworks",
        "properties": {
          "addressSpace": {
            "addressPrefixes": [
              "10.0.0.0/23"
            ]
          },
          "subnets": [
            {
              "name": "[parameters('subnetName')]",
              "properties": {
                "addressPrefix": "10.0.0.0/23",
                "serviceEndpoints": [
                  {
                    "service": "Microsoft.EventHub"
                  }
                ]
              }
            }
          ]
        }
      },
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[variables('namespaceNetworkRuleSetName')]",
        "type": "Microsoft.EventHub/namespaces/networkruleset",
        "dependsOn": [
          "[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
        ],
        "properties": {
          "virtualNetworkRules": 
          [
            {
              "subnet": {
                "id": "[variables('subNetId')]"
              },
              "ignoreMissingVnetServiceEndpoint": false
            }
          ],
          "ipRules":[<YOUR EXISTING IP RULES>],
          "trustedServiceAccessEnabled": false,
          "defaultAction": "Deny"
        }
      }
    ],
    "outputs": { }
  }

Şablonu dağıtmak için Azure Resource Manager.

Önemli

IP ve sanal ağ kuralı yoksa, olarak ayarlasanız bile tüm trafik ad alanına defaultAction deny akar. Ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak). Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağına gelen trafiğe izin vermek için en az bir IP kuralı veya sanal ağ kuralı belirtin.

Sonraki adımlar

Sanal ağlar hakkında daha fazla bilgi için aşağıdaki bağlantılara bakın: