Zabezpečení sítě pro prostředky Azure Event Gridu
Tento článek popisuje, jak používat následující funkce zabezpečení ve službě Azure Event Grid:
- Značky služeb pro výchozí přenos dat
- Pravidla brány firewall protokolu IP pro příchozí přenos dat
- Privátní koncové body pro příchozí přenos dat
Značky služeb
Značka služby představuje skupinu předpon IP adres z dané služby Azure. Společnost Microsoft spravuje předpony adres zahrnující značku služby a automaticky aktualizuje značku služby jako změny adres a minimalizuje složitost častých aktualizací pravidel zabezpečení sítě. Další informace o značkách služeb najdete v tématu Přehled značek služeb.
Značky služeb můžete použít k definování řízení přístupu k síti ve skupinách zabezpečení sítě nebo službě Azure Firewall. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení. Zadáním názvu značky služby (například AzureEventGrid) do příslušného zdrojového nebo cílového pole pravidla můžete povolit nebo odepřít provoz pro odpovídající službu.
| Značka služby | Účel | Může používat příchozí nebo odchozí provoz? | Může být regionální? | Může se používat se službou Azure Firewall? |
|---|---|---|---|---|
| AzureEventGrid | Azure Event Grid. | Oboje | No | Ne |
Brána firewall IP
Azure Event Grid podporuje řízení přístupu na základě IP adres pro publikování do témat a domén. Pomocí ovládacích prvků založených na IP adresách můžete vydavatele omezit na téma nebo doménu jenom na sadu schválených počítačů a cloudových služeb. Tato funkce doplňuje mechanismy ověřování podporované službou Event Grid.
Ve výchozím nastavení jsou téma a doména přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IP adres nebo rozsahů IP adres v zápisu CIDR (Classless Inter-Domain Routing). Vydavatelé pocházející z jakékoli jiné IP adresy jsou odmítnuti a obdrží odpověď 403 (Zakázáno).
Podrobné pokyny ke konfiguraci brány firewall protokolu IP pro témata a domény najdete v tématu Konfigurace brány firewall protokolu IP.
Privátní koncové body
Pomocí privátních koncových bodů můžete povolit příchozí přenos událostí přímo z vaší virtuální sítě do vašich témat a domén bezpečně přes privátní propojení bez průchodu veřejným internetem. Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti. Když vytvoříte privátní koncový bod pro vaše téma nebo doménu, poskytuje zabezpečené připojení mezi klienty ve vaší virtuální síti a prostředkem služby Event Grid. Privátní koncový bod má přiřazenou IP adresu z rozsahu IP adres vaší virtuální sítě. Připojení mezi privátním koncovým bodem a službou Event Grid používá zabezpečené privátní propojení.
Použití privátních koncových bodů pro prostředek Event Gridu umožňuje:
- Zabezpečený přístup k vašemu tématu nebo doméně z virtuální sítě přes páteřní síť Microsoftu, a ne z veřejného internetu.
- Bezpečně se připojte z místních sítí, které se připojují k virtuální síti pomocí sítě VPN nebo ExpressRoute s privátním partnerským vztahem.
Když ve virtuální síti vytvoříte privátní koncový bod pro téma nebo doménu, odešle se žádost o souhlas s žádostí o schválení vlastníkovi prostředku. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, také vlastníkem prostředku, bude tato žádost o souhlas automaticky schválena. V opačném případě je připojení ve stavu čekání , dokud ho neschválili. Aplikace ve virtuální síti se můžou bez problémů připojit ke službě Event Grid přes privátní koncový bod pomocí stejných připojovací řetězec a autorizačních mechanismů, které by jinak používaly. Vlastníci prostředků můžou spravovat žádosti o souhlas a privátní koncové body prostřednictvím karty Privátní koncové body prostředku na webu Azure Portal.
Připojení k privátním koncovým bodům
Vydavatelé ve virtuální síti používající privátní koncový bod by měli používat stejnou připojovací řetězec pro téma nebo doménu jako klienti připojující se k veřejnému koncovému bodu. Překlad DNS (Domain Name System) automaticky směruje připojení z virtuální sítě do tématu nebo domény přes privátní propojení. Event Grid vytvoří privátní zónu DNS připojenou k virtuální síti s potřebnou aktualizací privátních koncových bodů ve výchozím nastavení. Pokud ale používáte vlastní server DNS, možná budete muset provést další změny konfigurace DNS.
Změny DNS pro privátní koncové body
Při vytváření privátního koncového bodu se záznam DNS CNAME pro prostředek aktualizuje na alias v subdoméně s předponou privatelink. Ve výchozím nastavení se vytvoří privátní zóna DNS, která odpovídá subdoméně privátního propojení.
Když přeložíte adresu URL tématu nebo koncového bodu domény mimo virtuální síť s privátním koncovým bodem, přeloží se na veřejný koncový bod služby. Záznamy prostředků DNS pro témaA, když se přeloží mimo virtuální síť hostující privátní koncový bod, jsou:
| Name | Typ | Hodnota |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
CNAME | <Profil Azure Traffic Manageru> |
Přístup klienta mimo virtuální síť můžete zakázat nebo řídit prostřednictvím veřejného koncového bodu pomocí brány firewall protokolu IP.
Při překladu z virtuální sítě hostující privátní koncový bod se adresa URL tématu nebo koncového bodu domény přeloží na IP adresu privátního koncového bodu. Záznamy prostředků DNS pro téma topicA, při překladu z virtuální sítě , která je hostitelem privátního koncového bodu, jsou:
| Name | Typ | Hodnota |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
A | 10.0.0.5 |
Tento přístup umožňuje přístup k tématu nebo doméně pomocí stejného připojovací řetězec pro klienty ve virtuální síti hostující privátní koncové body a klienty mimo virtuální síť.
Pokud ve své síti používáte vlastní server DNS, můžou klienti přeložit plně kvalifikovaný název domény (FQDN) tématu nebo koncového bodu domény na IP adresu privátního koncového bodu. Nakonfigurujte server DNS tak, aby delegovali subdoménu privátního propojení do zóny privátního DNS pro virtuální síť nebo nakonfigurovali záznamy A s topicOrDomainName.regionName.privatelink.eventgrid.azure.net IP adresou privátního koncového bodu.
Doporučený název zóny DNS je privatelink.eventgrid.azure.net.
Privátní koncové body a publikování
Následující tabulka popisuje různé stavy připojení privátního koncového bodu a vlivy na publikování:
| stav Připojení ionu | Úspěšné publikování (Ano/Ne) |
|---|---|
| Schválený | Ano |
| Zamítnuto | No |
| Nevyřízeno | No |
| Odpojeno | No |
Aby publikování proběhlo úspěšně, měl by být schválen stav připojení privátního koncového bodu. Pokud je připojení odmítnuto, nejde ho schválit pomocí webu Azure Portal. Jedinou možností je odstranit připojení a vytvořit místo toho nové připojení.
Kvóty a omezení
Počet pravidel brány firewall protokolu IP a připojení privátních koncových bodů na téma nebo doménu je omezený. Podívejte se na kvóty a limity služby Event Grid.
Další kroky
Bránu firewall protokolu IP pro prostředek Služby Event Grid můžete nakonfigurovat tak, aby omezovala přístup přes veřejný internet jenom z vybrané sady IP adres nebo rozsahů IP adres. Podrobné pokyny najdete v tématu Konfigurace brány firewall protokolu IP.
Privátní koncové body můžete nakonfigurovat tak, aby omezovaly přístup jenom z vybraných virtuálních sítí. Podrobné pokyny najdete v tématu Konfigurace privátních koncových bodů.
Informace o řešení potíží s připojením k síti najdete v tématu Řešení potíží s připojením k síti.