السماح بالوصول إلى مساحات أسماء Azure Event Hubs عبر نقاط النهاية الخاصة
تمكنك خدمة Azure Private Link من الوصول إلى خدمات Azure (على سبيل المثال، Azure Event Hubs وAzure Storage وAzure Cosmos DB) وخدمات العملاء/الشركاء المستضافة من Azure عبر نقطة نهاية خاصة في شبكتك الظاهرية.
نقطة النهاية الخاصة هي واجهة شبكة اتصال تربطك بشكل خاص وآمن بخدمة مدعومة من ارتباط Azure الخاص. تستخدم نقطة النهاية الخاصة عنوان IP خاص من الشبكة الظاهرية؛ مما يؤدي إلى إدخال الخدمة إلى الشبكة الظاهرية. يتم توجيه جميع نسبة استخدام الشبكة إلى الخدمة من خلال نقطة النهاية الخاصة، لذلك لا يلزم وجود بوابات أو أجهزة NAT أو اتصالات ExpressRoute أو VPN أو عناوين IP العامة. قم بنقل البيانات بين شبكتك الظاهرية وخدمات الاجتياز عبر شبكة Microsoft الأساسية، مما يلغي التعرض للإنترنت العام. يمكنك الاتصال بمثيل مورد Azure، مما يمنحك أعلى مستوى من الدقة في التحكم في الوصول.
لمزيد من المعلومات، راجع ما هو ارتباط Azure الخاص؟
النقاط الهامة
- هذه الميزة غير مدعمة في المستوى الأساسي.
- يمكن أن يؤدي تمكين نقاط النهاية الخاصة إلى منع خدمات Azure الأخرى من التفاعل مع مراكز الأحداث. تتضمن الطلبات المحظورة الطلبات الواردة من خدمات Azure الأخرى، ومن مدخل Azure، ومن خدمات التسجيل والقياسات، وما إلى ذلك. كاستثناء، يمكنك السماح بالوصول إلى موارد مراكز الأحداث من خدمات موثوق بها معينة حتى عند تمكين نقاط النهاية الخاصة. للحصول على قائمة بالخدمات الموثوقة، راجع الخدمات الموثوقة.
- حدد قاعدة IP واحدة على الأقل أو قاعدة شبكة ظاهرية لمساحة الاسم للسماح بنسبة استخدام الشبكة فقط من عناوين IP المحددة أو الشبكة الفرعية لشبكة ظاهرية. إذا لم تكن هناك قواعد IP والشبكة الظاهرية، فيمكن الوصول إلى مساحة الاسم عبر الإنترنت العام (باستخدام مفتاح الوصول).
أضف نقطة نهاية خاصة باستخدام بوابة Azure
المتطلبات الأساسية
لدمج مساحة اسم مراكز الأحداث مع Azure Private Link، تحتاج إلى الكيانات أو الأذونات التالية:
- مساحة اسم "محاور الأحداث".
- شبكة Azure الظاهرية.
- شبكة فرعية في الشبكة الظاهرية. يمكنك استخدام الشبكة الفرعية الافتراضية.
- أذونات المالك أو المساهم لكلٍّ من مساحة الاسم والشبكة الافتراضية.
يجب أن تكون نقطة النهاية الخاصة والشبكة الظاهرية في نفس المنطقة. عند تحديد منطقة لنقطة النهاية الخاصة باستخدام المدخل، فإنه يقوم تلقائيا بتصفية الشبكات الظاهرية الموجودة في تلك المنطقة. يمكن أن تكون مساحة الاسم الخاصة بك في منطقة مختلفة.
تستخدم نقطة النهاية الخاصة عنوان IP خاصًا في شبكتك الظاهرية.
تكوين الوصول الخاص عند إنشاء مساحة اسم
عند إنشاء مساحة اسم، يمكنك إما السماح للجمهور فقط (من جميع الشبكات) أو الوصول الخاص فقط (فقط عبر نقاط النهاية الخاصة) إلى مساحة الاسم.
إذا حددت خيار الوصول الخاص في صفحة الشبكات لمعالج إنشاء مساحة الاسم، يمكنك إضافة نقطة نهاية خاصة على الصفحة عن طريق تحديد الزر + نقطة النهاية الخاصة. راجع القسم التالي للاطلاع على الخطوات التفصيلية لإضافة نقطة نهاية خاصة.
تكوين وصول خاص لمساحة اسم موجودة
إذا كان لديك بالفعل مساحة اسم Event Hubs، يمكنك إنشاء اتصال ارتباط خاص باتباع الخطوات التالية:
قم بتسجيل الدخول إلى بوابة Azure.
في شريط البحث، اكتب مراكز الأحداث.
حدد namespace من القائمة التي تريد إضافة نقطة نهاية خاصة إليها.
في صفحة Networking ، للوصول إلى الشبكة العامة، حدد Disabled إذا كنت تريد الوصول إلى مساحة الاسم فقط عبر نقاط النهاية الخاصة.
للسماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا، حدد نعم إذا كنت تريد السماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا.
ثم حدد تبويب Private endpoint connections.
حدد الزر + Private Endpoint أعلى الصفحة.
في صفحة Basics، اتبع الخطوات التالية:
حدد Azure subscription المراد إنشاء نقطة النهاية الخاصة فيه.
حدد resource group لمورد نقطة النهاية الخاصة.
أدخل name لنقطة النهاية الخاصة.
أدخل اسمًا لواجهة الشبكة.
حدد region لنقطة النهاية الخاصة. يجب أن تكون نقطة النهاية الخاصة بك في نفس المنطقة مثل شبكتك الظاهرية، ولكن يمكن أن تكون في منطقة مختلفة عن مورد الارتباط الخاص الذي تتصل به.
اضغط زر Next: Resource > أسفل الصفحة.
في صفحة الموارد، راجع الإعدادات، وحدد التالي: الشبكة الظاهرية.
في صفحة Virtual Network، تحدد الشبكة الفرعية في شبكة ظاهرية حيث تريد توزيع نقطة النهاية الخاصة.
حدد شبكة افتراضية . يتم سرد الشبكات الافتراضية فقط الموجودة في الاشتراك والموقع المحددين حاليًا في القائمة المنسدلة.
حدد شبكة فرعية في الشبكة الافتراضية التي حددتها.
لاحظ أن نهج الشبكة لنقاط النهاية الخاصة معطّل. إذا كنت تريد تمكينه، فحدد تحرير، وقم بتحديث الإعداد، وحدد حفظ.
من أجل تكوين IP الخاص، بشكل افتراضي، يتم تحديد خيار تخصيص عنوان IP ديناميكيًا. إذا كنت تريد تعيين عنوان IP ثابت، فحدد تخصيص عنوان IP بشكل ثابت*.
بالنسبة لمجموعة أمان التطبيق، حدد مجموعة أمان تطبيق موجودة أو أنشئ مجموعة سيتم إقرانها بنقطة النهاية الخاصة.
حدد الزر التالي: DNS> أسفل الصفحة.
في صفحة DNS، حدد ما إذا كنت تريد دمج نقطة النهاية الخاصة مع منطقة DNS خاصة، ثم حدد التالي: العلامات.
في صفحة Tags، أنشئ أية علامات (أسماء وقيم) تريد إقرانها بمورد نقطة النهاية الخاصة. ثم حدد زر مراجعة + إنشاء أسفل الصفحة.
في مراجعة + إنشاء ، راجع جميع الإعدادات وحدد إنشاء لإنشاء نقطة النهاية الخاصة.
تأكد من ظهور اتصال نقطة النهاية الخاص الذي أنشأته في قائمة نقاط النهاية. قم بتحديث الصفحة والتبديل إلى علامة التبويب اتصالات نقطة النهاية الخاصة. في هذا المثال، تتم الموافقة التلقائية على نقطة النهاية الخاصة لأنك متصل بمورد Azure في دليلك ولديك أذونات كافية.
خدمات Microsoft الموثوق بها
عند تمكين إعداد Allow trusted Microsoft services to bypass this firewall، يتم منح الخدمات التالية داخل المستأجر نفسه الوصول إلى موارد "مراكز الأحداث".
| خدمة موثوق بها | سيناريوهات الاستخدام المعتمدة |
|---|---|
| Azure Event Grid | يسمح Azure Event Grid بإرسال الأحداث إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". تحتاج أيضا إلى القيام بالخطوات التالية:
لمزيد من المعلومات، راجع تسليم الأحداث بهوية مدارة |
| Azure Stream Analytics | يسمح لمهمة Azure Stream Analytics بقراءة البيانات من (الإدخال) أو كتابة البيانات إلى (الإخراج) محاور الأحداث في مساحة اسم مراكز الأحداث. مهم: يجب تكوين مهمة Stream Analytics لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع استخدام الهويات المدارة للوصول إلى مركز الأحداث من مهمة Azure Stream Analytics (معاينة). |
| Azure IoT Hub | يسمح ل IoT Hub بإرسال رسائل إلى مراكز الأحداث في مساحة اسم مراكز الأحداث. تحتاج أيضا إلى القيام بالخطوات التالية:
|
| إدارة Azure API | تسمح لك خدمة APIM بإرسال الأحداث إلى مركز أحداث في مساحة اسم "مراكز الأحداث".
|
| مراقب Azure (الإعدادات التشخيصي ومجموعات العمل) | يسمح ل Azure Monitor بإرسال معلومات التشخيص وتنبيهات التنبيه إلى مراكز الأحداث في مساحة اسم "مراكز الأحداث". يمكن أن تقرأ Azure Monitor من لوحة الوصل الحدث وكتابة البيانات إلى لوحة الوصل الحدث أيضا. |
| Azure Synapse | يسمح ل Azure Synapse بالاتصال بمركز الأحداث باستخدام الهوية المدارة لمساحة عمل Synapse. أضف دور مرسل بيانات مراكز الأحداث أو المستلم أو المالك إلى الهوية على مساحة اسم مراكز الأحداث. |
| Azure Data Explorer (Kusto) | يسمح ل Azure Data Explorer بتلقي الأحداث من مركز الأحداث باستخدام الهوية المدارة للمجموعة. تحتاج إلى القيام بالخطوات التالية:
|
| Azure IoT Central | يسمح ل IoT Central بتصدير البيانات إلى مراكز الأحداث في مساحة اسم مراكز الأحداث. تحتاج أيضاً إلى القيام بالخطوات التالية:
|
| Azure Health Data Services | يسمح لموصل واجهات برمجة تطبيقات الرعاية الصحية ل IoT استيعاب بيانات الجهاز الطبي من مساحة اسم مراكز الأحداث واستمرار البيانات في خدمة موارد التشغيل التفاعلي للرعاية الصحية السريعة (FHIR®) المكونة. يجب تكوين موصل IoT لاستخدام هوية مدارة للوصول إلى مركز الحدث. لمزيد من المعلومات، راجع بدء استخدام موصل IoT - واجهات برمجة تطبيقات الرعاية الصحية Azure. |
| Azure Digital Twins | يسمح ل Azure Digital Twins بالدخول إلى مراكز الأحداث في مساحة اسم Event Hubs. تحتاج أيضا إلى القيام بالخطوات التالية:
|
يمكن العثور على الخدمات الموثوق بها الأخرى لمراكز أحداث Azure أدناه:
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
للسماح للخدمات الموثوق بها بالوصول إلى مساحة الاسم الخاصة بك، قم بالتبديل إلى علامة التبويب الوصول العام في صفحة الشبكات، وحدد نعم للسماح خدمات Microsoft الموثوق بها بتجاوز جدار الحماية هذا؟.
أضف نقطة نهاية خاصة باستخدام PowerShell
يوضح المثال التالي كيفية استخدام Azure PowerShell لإنشاء اتصال نقطة نهاية خاصة. لا تنشئ مجموعة مخصصة لك. اتبع الخطوات الواردة في هذه المقالة لإنشاء مجموعة مراكز أحداث مخصصة.
$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"
# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation
# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $vnetlocation `
-Name $vnetName `
-AddressPrefix 10.0.0.0/16
# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name $subnetName `
-AddressPrefix 10.0.0.0/24 `
-PrivateEndpointNetworkPoliciesFlag "Disabled" `
-VirtualNetwork $virtualNetwork
# update virtual network
$virtualNetwork | Set-AzVirtualNetwork
# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
-ResourceName $namespaceName `
-ResourceGroupName $rgName `
-Sku @{name = "Standard"; capacity = 1} `
-Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
-ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"
# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $peConnectionName `
-PrivateLinkServiceId $namespaceResource.ResourceId `
-GroupId "namespace"
# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
| Where-Object {$_.Name -eq $subnetName}
# create a private endpoint
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName `
-Name $vnetName `
-Location $vnetlocation `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection
(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties
تكوين منطقة DNS الخاصة
أنشئ منطقة DNS خاصة لمجال Event Hubs وأنشئ ارتباطًا بالشبكة الافتراضية:
$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
-Name "privatelink.servicebus.windows.net"
$link = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
-ZoneName "privatelink.servicebus.windows.net" `
-Name "mylink" `
-VirtualNetworkId $virtualNetwork.Id
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01"
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) {
foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) {
Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"
$recordName = $fqdn.split('.',2)[0]
$dnsZone = $fqdn.split('.',2)[1]
New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net" `
-ResourceGroupName $rgName -Ttl 600 `
-PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)
}
}
إدارة نقاط النهاية الخاصة باستخدام بوابة Azure
عند إنشاء نقطة نهاية خاصة، لا بد من الموافقة على الاتصال. إذا كان المورد الذي تقوم بإنشاء نقطة نهاية خاصة له موجودًا في دليلك، فيمكنك الموافقة على طلب الاتصال بشرط أن يكون لديك أذونات كافية. لو كنت تتصل بمورد Azure في دليل آخر، فلا بد أن تنتظر حتى يوافق مالك هذا المورد على طلب الاتصال الخاص بك.
يوجد أربع حالات توفير:
| عمل الخدمة | حالة نقطة النهاية الخاصة للمستهلك | الوصف |
|---|---|---|
| بلا | معلق | يُنشأ الاتصال يدويًا وهو في انتظار الموافقة من مالك مورد الارتباط الخاص. |
| الموافقة | موافق عليها | تمت الموافقة على الاتصال تلقائياً أو يدوياً وهو جاهز للاستخدام. |
| رفض | مرفوض | تم رفض الاتصال من ناحية مالك مورد الارتباط الخاص. |
| إزالة | غير متصل | تمت إزالة الاتصال من قبل مالك مورد الارتباط الخاص. تصبح نقطة النهاية الخاصة إعلامية ويجب حذفها للتنظيف. |
قبول اتصال نقطة نهاية خاصة أو رفضه أو إزالته
- قم بتسجيل الدخول إلى بوابة Azure.
- في شريط البحث، اكتب مراكز الأحداث.
- حدد namespace المراد إدارتها.
- حدد علامة التبويب Networking
- انتقل إلى القسم التالي المناسب استنادا إلى العملية التي تريدها: الموافقة أو الرفض أو الإزالة.
الموافقة على اتصال نقطة نهاية خاصة
إذا كانت هناك أي اتصالات معلقة، فسترى اتصالا مدرجا مع Pending في حالة التوفير.
حدد private endpoint التي ترغب في الموافقة عليها
حدد الزر Approve.
في صفحة الموافقة على الاتصال ، أضف تعليقا (اختياريا)، وحدد نعم. إذا حددت No، فلن يحدث شيء.
يجب أن ترى حالة اتصال نقطة النهاية الخاصة في القائمة تم تغييرها إلى تمت الموافقة.
رفض اتصال نقطة نهاية خاصة
إذا كانت هناك أي اتصالات نقطة نهاية خاصة تريد رفضها، سواء كان طلبا معلقا أو اتصالا موجودا، فحدد الاتصال وحدد الزر رفض .
في صفحة رفض الاتصال ، أدخل تعليقا (اختياريا)، وحدد نعم. إذا حددت No، فلن يحدث شيء.
يجب أن ترى حالة اتصال نقطة النهاية الخاصة في القائمة تم تغييرها إلى مرفوض.
أزل اتصال نقطة نهاية خاصة
- لإزالة اتصال نقطة نهاية خاصة، حدده في القائمة، وحدد Remove من شريط الأدوات.
- في صفحة Delete connection، حدد Yes لتأكيد حذف نقطة النهاية الخاصة. إذا حددت No، فلن يحدث شيء.
- من المفترض أن ترى الحالة قد تغيرت إلى Disconnected. ثم تختفي نقطة النهاية من القائمة.
تحقق من أن اتصال الارتباط الخاص يعمل
يجب عليك التحقق من أن الموارد الموجودة داخل الشبكة الافتراضية لنقطة النهاية الخاصة تتصل بمساحة اسم Event Hubs عبر عنوان IP خاص، وأن لديهم تكامل منطقة DNS خاصًا صحيحًا.
أولاً، أنشئ جهازًا افتراضيًا باتباع الخطوات الواردة في إنشاء جهاز ظاهري في Windows في مدخل Microsoft Azure
في علامة التبويب Networking :
- حدد Virtual network وSubnet. يجب عليك تحديد الشبكة الظاهرية التي نشرت نقطة النهاية الخاصة عليها.
- حدد مورد public IP.
- بالنسبة إلى NIC network security group، حدد None.
- بالنسبة إلى Load balancing، حدد No.
قم بالاتصال بـ VM، وافتح سطر الأوامر، وقم بتشغيل الأمر التالي:
nslookup <event-hubs-namespace-name>.servicebus.windows.net
يجب أن ترى نتيجة تشبه ما يلي.
Non-authoritative answer:
Name: <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address: 10.0.0.4 (private IP address associated with the private endpoint)
Aliases: <event-hubs-namespace-name>.servicebus.windows.net
القيود واعتبارات التصميم
- للحصول على معلومات التسعير، راجع تسعير Azure Private Link.
- تتوفر هذه الميزة في جميع مناطق Azure العامة.
- الحد الأقصى لعدد نقاط النهاية الخاصة لكل مساحة اسم لمراكز الأحداث: 120.
- يتم حظر حركة المرور في طبقة التطبيق، وليس في طبقة TCP. لذلك، ترى اتصالات TCP أو
nslookupعمليات ناجحة مقابل نقطة النهاية العامة على الرغم من تعطيل الوصول العام.
لمزيد من المعلومات، راجع خدمة Azure Private Link: القيود
المحتوى ذو الصلة
- تعرف على المزيد حول Azure Private Link
- تعرف على المزيد حول Azure Event Hubs