Povolení přístupu k oborům názvů služby Azure Event Hubs z konkrétních IP adres nebo rozsahů
Ve výchozím nastavení jsou obory názvů služby Event Hubs přístupné z internetu, pokud je požadavek dodáván s platným ověřováním a autorizací. S bránou firewall protokolu IP ji můžete dál omezit jenom na sadu IPv4 a IPv6 adres nebo rozsahů adres v zápisu CIDR (classless Inter-Domain Routing).
Tato funkce je užitečná ve scénářích, ve kterých by služba Azure Event Hubs měla být přístupná jenom z určitých dobře známých webů. Pravidla brány firewall umožňují nakonfigurovat pravidla pro příjem provozu pocházejícího z konkrétních adres IPv4 a IPv6. Pokud například používáte službu Event Hubs se službou Azure Express Route, můžete vytvořit pravidlo brány firewall, které povolí provoz jenom z vašich IP adres místní infrastruktury.
Pravidla brány firewall protokolu IP
Pravidla brány firewall protokolu IP zadáte na úrovni oboru názvů služby Event Hubs. Pravidla se tedy vztahují na všechna připojení z klientů pomocí libovolného podporovaného protokolu. Jakýkoli pokus o připojení z IP adresy, která neodpovídá povolenému pravidlu IP adresy v oboru názvů služby Event Hubs, se odmítne jako neautorizováno. Odpověď nezmíní pravidlo IP adresy. Pravidla filtru IP adres se použijí v pořadí a první pravidlo, které odpovídá IP adrese, určuje akci přijetí nebo odmítnutí.
Důležité body
- Tato funkce není ve vrstvě Basic podporovaná.
- Zapnutí pravidel brány firewall pro obor názvů služby Event Hubs ve výchozím nastavení blokuje příchozí požadavky, pokud požadavky nepocházejí ze služby provozované z povolených veřejných IP adres. Mezi blokované požadavky patří požadavky z jiných služeb Azure, z webu Azure Portal, z protokolování a služeb metrik atd. Jako výjimku můžete povolit přístup k prostředkům služby Event Hubs z určitých důvěryhodných služeb i v případě, že je povolené filtrování IP adres. Seznam důvěryhodných služeb najdete v tématu Důvěryhodné služby Microsoft.
- Zadejte alespoň jedno pravidlo brány firewall protokolu IP nebo pravidlo virtuální sítě pro obor názvů, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla PROTOKOLU IP a virtuální sítě, je možné k oboru názvů přistupovat přes veřejný internet (pomocí přístupového klíče).
Použití webu Azure Portal
Při vytváření oboru názvů můžete buď povolit veřejný přístup (ze všech sítí) nebo pouze privátní přístup (pouze prostřednictvím privátních koncových bodů) k oboru názvů. Po vytvoření oboru názvů můžete povolit přístup z konkrétních IP adres nebo z konkrétních virtuálních sítí (pomocí koncových bodů síťové služby).
Konfigurace veřejného přístupu při vytváření oboru názvů
Chcete-li povolit veřejný přístup, vyberte veřejný přístup na stránce Sítě průvodce vytvořením oboru názvů.
Po vytvoření oboru názvů vyberte v levé nabídce stránky Oboru názvů služby Event Hubs možnost Sítě. Zobrazí se vybraná možnost Všechny sítě . Můžete vybrat možnost Vybrané sítě a povolit přístup z konkrétních IP adres nebo konkrétních virtuálních sítí. V další části najdete podrobnosti o konfiguraci brány firewall protokolu IP pro určení IP adres, ze kterých je přístup povolený.
Konfigurace brány firewall protokolu IP pro existující obor názvů
V této části se dozvíte, jak pomocí webu Azure Portal vytvořit pravidla brány firewall protokolu IP pro obor názvů služby Event Hubs.
Na webu Azure Portal přejděte k oboru názvů služby Event Hubs.
V nabídce vlevo vyberte Sítě v části Nastavení.
Na stránce Sítě zvolte pro přístup k veřejné síti možnost Vybrané sítě, pokud chcete povolit přístup pouze ze zadaných IP adres.
Tady jsou další podrobnosti o možnostech dostupných na stránce přístupu k veřejné síti:
Zakázáno. Tato možnost zakáže veškerý veřejný přístup k oboru názvů. Obor názvů je přístupný pouze prostřednictvím privátních koncových bodů.
Vybrané sítě. Tato možnost umožňuje veřejný přístup k oboru názvů pomocí přístupového klíče z vybraných sítí.
Důležité
Pokud zvolíte Vybrané sítě, přidejte alespoň jedno pravidlo brány firewall protokolu IP nebo virtuální síť, která bude mít přístup k oboru názvů. Pokud chcete omezit veškerý provoz do tohoto oboru názvů pouze přes privátní koncové body, zvolte Zakázáno.
Všechny sítě (výchozí). Tato možnost umožňuje veřejný přístup ze všech sítí pomocí přístupového klíče. Pokud vyberete možnost Všechny sítě , centrum událostí přijímá připojení z jakékoli IP adresy (pomocí přístupového klíče). Toto nastavení je ekvivalentní pravidlu, které přijímá rozsah IP adres 0.0.0.0/0.
Pokud chcete omezit přístup na konkrétní IP adresy, vyberte možnost Vybrané sítě a pak postupujte takto:
V části Brána firewall vyberte Možnost Přidat IP adresu klienta, abyste aktuální IP adrese klienta poskytli přístup k oboru názvů.
Do rozsahu adres zadejte konkrétní adresy IPv4 nebo IPv6 nebo rozsahy adres v zápisu CIDR.
Důležité
Když služba začne podporovat připojení IPv6 v budoucnu a klienti se automaticky přepnou na používání protokolu IPv6, klienti se přeruší, pokud máte jenom adresy IPv4, ne adresy IPv6. Proto doporučujeme přidat adresy IPv6 do seznamu povolených IP adres, aby se klienti neporušili, když se služba nakonec přepne na podporu IPv6.
Určete, jestli chcete povolit, aby důvěryhodná služby Microsoft tuto bránu firewall vynechala. Podrobnosti najdete v části Důvěryhodné služby Microsoft.
Nastavení uložíte výběrem možnosti Uložit na panelu nástrojů. Počkejte několik minut, než se potvrzení zobrazí v oznámeních na portálu.
Poznámka:
Pokud chcete omezit přístup k určitým virtuálním sítím, přečtěte si téma Povolit přístup z konkrétních sítí.
Důvěryhodné služby Microsoftu
Když povolíte povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall, budou k prostředkům služby Event Hubs uděleny následující služby v rámci stejného tenanta.
| Důvěryhodná služba | Podporované scénáře použití |
|---|---|
| Azure Event Grid | Umožňuje službě Azure Event Grid odesílat události do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky:
Další informace najdete v tématu Doručování událostí se spravovanou identitou. |
| Azure Stream Analytics | Umožňuje úloze Azure Stream Analytics číst data z (vstupu) nebo zapisovat data do (výstupní) center událostí v oboru názvů služby Event Hubs. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby používala spravovanou identitu pro přístup k centru událostí. Další informace najdete v tématu Použití spravovaných identit pro přístup k centru událostí z úlohy Azure Stream Analytics (Preview). |
| Azure IoT Hub | Umožňuje službě IoT Hub odesílat zprávy do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky:
|
| Azure API Management | Služba API Management umožňuje odesílat události do centra událostí v oboru názvů služby Event Hubs.
|
| Azure Monitor (diagnostické Nastavení a skupiny akcí) | Umožňuje službě Azure Monitor odesílat diagnostické informace a oznámení výstrah do center událostí v oboru názvů služby Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí. |
| Azure Synapse | Umožňuje službě Azure Synapse připojit se k centru událostí pomocí spravované identity pracovního prostoru Synapse. Přidejte do identity v oboru názvů Event Hubs roli odesílatele dat služby Azure Event Hubs, příjemce nebo vlastníka. |
| Průzkumník dat Azure | Umožňuje Azure Data Exploreru přijímat události z centra událostí pomocí spravované identity clusteru. Potřebujete provést následující kroky:
|
| Azure IoT Central | Umožňuje Službě IoT Central exportovat data do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky:
|
| Azure Health Data Services | Umožňuje konektor IoT služby Healthcare APIs ingestovat data zdravotnických zařízení z oboru názvů služby Event Hubs a uchovávat data ve vaší nakonfigurované službě FHIR® (Fast Healthcare Interoperability Resources). Konektor IoT by měl být nakonfigurovaný tak, aby pro přístup k centru událostí používal spravovanou identitu. Další informace najdete v tématu Začínáme s konektorem IoT – Azure Healthcare API. |
| Azure Digital Twins | Umožňuje službě Azure Digital Twins výchozí přenos dat do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky:
|
Další důvěryhodné služby pro Azure Event Hubs najdete níže:
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
Použití šablony Resource Manageru
Důležité
Funkce brány firewall není ve vrstvě Basic podporovaná.
Následující šablona Resource Manageru umožňuje přidat pravidlo filtru IP adres do existujícího oboru názvů služby Event Hubs.
IpMask v šabloně je jedna adresa IPv4 nebo blok IP adres v zápisu CIDR. Například v zápisu CIDR 70.37.104.0/24 představuje 256 IPv4 adresy od 70.37.104.0 do 70.37.104.255, přičemž 24 označuje počet významných bitů předpon pro rozsah.
Poznámka:
Výchozí hodnota defaultAction je Allow. Při přidávání pravidel virtuální sítě nebo bran firewall nezapomeňte nastavit defaultAction hodnotu Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "contosoehub1333",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.EventHub/namespaces",
"apiVersion": "2022-01-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard",
"capacity": 1
},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true
}
},
{
"type": "Microsoft.EventHub/namespaces/authorizationrules",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.EventHub/namespaces/networkRuleSets",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
},
{
"ipMask": "172.72.157.204",
"action": "Allow"
}
]
}
}
]
}
Pokud chcete šablonu nasadit, postupujte podle pokynů pro Azure Resource Manager.
Důležité
Pokud neexistují žádná pravidla PROTOKOLU IP a virtuální sítě, veškerý provoz proudí do oboru názvů i v případě, že nastavíte defaultAction hodnotu deny. Obor názvů je přístupný přes veřejný internet (pomocí přístupového klíče). Zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě.
Použití Azure CLI
Pomocí az eventhubs namespace network-rule-set příkazů přidat, vypsat, aktualizovat a odebrat můžete spravovat pravidla brány firewall protokolu IP pro obor názvů služby Event Hubs.
Použití Azure Powershell
Pomocí rutiny Set-AzEventHubNetworkRuleSet přidejte jedno nebo více pravidel brány firewall protokolu IP. Příklad z článku:
$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3
Výchozí akce a přístup k veřejné síti
REST API
Výchozí hodnota defaultAction vlastnosti byla Deny pro rozhraní API verze 2021-01-01-preview a starší. Pravidlo zamítnutí se ale nevynucuje, pokud nenastavíte filtry IP adres nebo pravidla virtuální sítě. To znamená, že pokud jste neměli žádné filtry IP adres nebo pravidla virtuální sítě, považuje se za Allow.
Od rozhraní API verze 2021-06-01-preview je výchozí hodnota defaultAction vlastnosti Allowpřesně odrážet vynucení na straně služby. Pokud je výchozí akce nastavená na Deny, vynucují se filtry IP adres a pravidla virtuální sítě. Pokud je výchozí akce nastavená na Allow, filtry IP adres a pravidla virtuální sítě se nevynucuje. Služba si pamatuje pravidla, když je vypnete a pak znovu zapnete.
Rozhraní API verze 2021-06-01-preview dále zavádí novou vlastnost s názvem publicNetworkAccess. Pokud je nastavená na Disabled, operace jsou omezeny pouze na privátní propojení. Pokud je nastavená na Enabledhodnotu , jsou operace povoleny přes veřejný internet.
Další informace o těchto vlastnostech najdete v tématu Vytvoření nebo aktualizace sady pravidel sítě a vytvoření nebo aktualizace privátního koncového bodu Připojení ions.
Poznámka:
Žádné z výše uvedených nastavení nepoužívat ověřování deklarací identity prostřednictvím SAS nebo ověřování Microsoft Entra. Kontrola ověřování se vždy spustí po ověření síťových kontrol, které jsou nakonfigurovány pomocí defaultAction, publicNetworkAccessprivateEndpointConnections nastavení.
portál Azure
Azure Portal vždy používá nejnovější verzi rozhraní API k získání a nastavení vlastností. Pokud jste obor názvů nakonfigurovali pomocí verze 2021-01-01-preview a starší verze s nastavenými defaultAction na Denyhodnotu a zadali jste nulové filtry IP adres a pravidla virtuální sítě, portál by dříve kontroloval vybrané sítě na stránce Sítě vašeho oboru názvů. Teď zkontroluje možnost Všechny sítě .
Další kroky
Informace o omezení přístupu ke službě Event Hubs k virtuálním sítím Azure najdete na následujícím odkazu: