Povolení přístupu k oborům názvů služby Azure Event Hubs z konkrétních virtuálních sítí

Integrujte službu Event Hubs s koncovými body služby Azure Virtual Network, abyste omezili přístup k oboru názvů služby Event Hubs z konkrétních podsítí virtuální sítě. Tento článek vysvětluje, jak funguje integrace virtuální sítě, a obsahuje podrobné pokyny ke konfiguraci.

Overview

Pomocí koncových bodů služby Virtual Network můžou úlohy spuštěné ve virtuální síti, jako jsou virtuální počítače, bezpečně přistupovat k oboru názvů služby Event Hubs. Trasa síťového provozu je zabezpečená na obou stranách.

Když nakonfigurujete obor názvů služby Event Hubs s alespoň jedním koncovým bodem služby virtuální sítě, obor názvů přijímá pouze provoz z autorizovaných podsítí. Z hlediska virtuální sítě vytvoří koncový bod služby izolovaný síťový tunel z podsítě do oboru názvů služby Event Hubs.

Tato konfigurace vytvoří privátní a izolované připojení mezi úlohami v podsíti a oborem názvů služby Event Hubs, i když koncový bod služby Event Hubs používá veřejnou IP adresu.

Důležité body

• Tato funkce není ve vrstvě Basic podporovaná.
• Když povolíte virtuální sítě pro obor názvů služby Event Hubs, příchozí požadavky se ve výchozím nastavení zablokují, pokud nepocházejí ze služby provozované z povolených virtuálních sítí. Blokované požadavky zahrnují požadavky z jiných služeb Azure, webu Azure Portal, služeb protokolování a metrik atd. Jako výjimku můžete povolit přístup k prostředkům služby Event Hubs z určitých důvěryhodných služeb i v případě, že jsou povolené virtuální sítě. Seznam důvěryhodných služeb naleznete v tématu Důvěryhodné služby.
• Zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud nezadáte žádnou IP adresu a pravidla virtuální sítě, bude obor názvů přístupný přes veřejný internet (pomocí přístupového klíče).

Pokročilé scénáře zabezpečení povolené integrací virtuální sítě

Integrace virtuální sítě podporuje scénáře, které vyžadují striktní izolaci zabezpečení a zároveň umožňují komunikaci mezi odděleními služeb.

Přímé ip trasy mezi síťovými oddíly, i když používají PROTOKOL HTTPS přes TCP/IP, jsou zranitelné vůči zneužití síťových vrstev. Služba Event Hubs poskytuje bezpečnější alternativu tím, že funguje jako zprostředkovatel. Úlohy v samostatných virtuálních sítích, které se připojují ke stejné instanci služby Event Hubs, můžou spolehlivě vyměňovat zprávy při zachování izolace sítě.

Tento přístup dává řešením citlivým na zabezpečení přístup ke škálovatelným funkcím zasílání zpráv Azure při vytváření komunikačních cest, které jsou bezpečnější než přímá připojení typu peer-to-peer.

Vytvoření vazby služby Event Hubs k virtuálním sítím

Pravidla virtuální sítě určují, jestli váš obor názvů služby Event Hubs přijímá připojení z konkrétní podsítě virtuální sítě.

Vytvoření vazby oboru názvů služby Event Hubs k virtuální síti:

1. Vytvořte koncový bod služby v podsíti virtuální sítě a povolte ho pro Microsoft.EventHub. Další informace najdete v tématu Koncové body služby virtuální sítě.
2. Přidejte pravidlo virtuální sítě pro vytvoření vazby oboru názvů služby Event Hubs ke koncovému bodu služby.

Pravidlo virtuální sítě vytvoří asociaci mezi namespacem služby Event Hubs a podsítí virtuální sítě. Všechny úlohy v podsíti mají přístup ke jmennému prostoru služby Event Hubs, pokud pravidlo existuje.

Note

Služba Event Hubs nenavazuje odchozí připojení k vaší podsíti. Pravidlo uděluje příchozí přístup pouze z podsítě do služby Event Hubs.

Použití webu Azure Portal

Při vytváření oboru názvů si můžete vybrat z následujících možností:

• Veřejný přístup: Umožňuje přístup ze všech sítí.
• Privátní přístup: Omezuje přístup pouze k privátním koncovým bodům.

Po vytvoření oboru názvů můžete dále upřesnit přístup zadáním IP adres, virtuálních sítí nebo bezpečnostních perimetrů sítě.

Konfigurace veřejného přístupu při vytváření oboru názvů

Chcete-li povolit veřejný přístup, vyberte Public access na stránce Síťování průvodce vytvořením oboru názvů.

Po vytvoření oboru názvů vyberte v levé nabídce na stránce Obor názvů služby Event Hubs možnost Sítě.

Ve výchozím nastavení je pro obor názvů pro všechny sítě povolený přístup k veřejné síti.

Tato možnost umožňuje veřejný přístup ze všech sítí pomocí přístupového klíče. Obor názvů přijímá připojení z libovolné IP adresy (pomocí přístupového klíče).

V další části najdete podrobnosti o konfiguraci koncových bodů služby virtuální sítě, abyste určili virtuální sítě, ze kterých je povolený přístup.

Konfigurace vybraných sítí pro existující obor názvů

V této části se dozvíte, jak pomocí webu Azure Portal přidat koncový bod služby virtuální sítě. Pokud chcete omezit přístup, integrujte koncový bod služby virtuální sítě pro tento obor názvů služby Event Hubs.

1. Na webu Azure Portal přejděte do oboru názvů služby Event Hubs.

2. V nabídce vlevo vyberte Sítě v části Nastavení .

3. Na stránce Sítě vyberte Spravovat v části Přístup k veřejné síti.

   

4. Na stránce Přístup k veřejné síti v části Výchozí akce vyberte Povolit z vybraných sítí , abyste povolili přístup pouze ze zadaných IP adres.

   

   Important

   Pokud zvolíte Vybrané sítě, přidejte alespoň jedno pravidlo brány firewall protokolu IP nebo virtuální síť, která má přístup k oboru názvů. Pokud chcete omezit veškerý provoz do tohoto oboru názvů pouze přes privátní koncové body, zvolte Zakázáno.

5. V části Virtuální sítě na stránce vyberte +Přidat virtuální síť ->Přidat existující virtuální síť*. Pokud chcete vytvořit novou virtuální síť, vyberte Přidat novou virtuální síť.

   

   Important

   Pokud zvolíte Vybrané sítě, přidejte alespoň jedno pravidlo brány firewall protokolu IP nebo virtuální síť, která má přístup k vašemu oboru názvů. Pokud chcete omezit veškerý provoz do tohoto oboru názvů pouze přes privátní koncové body, zvolte Zakázáno.

6. V seznamu virtuálních sítí vyberte virtuální síť , vyberte podsíť a pak vyberte Povolit. Před přidáním virtuální sítě do seznamu musíte koncový bod služby povolit. Pokud koncový bod služby není povolený, portál vás vyzve, abyste ho povolili.

   

7. Po povolení koncového bodu služby pro podsíť Microsoft.EventHub se zobrazí zpráva o úspěšném povolení. Vyberte Přidat v dolní části stránky a přidejte síť.

   

   Note

   Pokud nemůžete povolit koncový bod služby, můžete chybějící koncový bod služby virtuální sítě ignorovat pomocí šablony Resource Manageru. Tato funkce není dostupná na portálu.

8. V části Výjimka určete, jestli chcete povolit důvěryhodným službám Microsoftu přístup k tomuto prostředku. Podrobnosti najdete v tématu Důvěryhodné služby Microsoftu .

9. Nastavení uložíte výběrem možnosti Uložit na panelu nástrojů. Počkejte několik minut, než se potvrzení zobrazí v oznámeních na portálu.

   

   Note

   Pokud chcete omezit přístup na konkrétní IP adresy nebo rozsahy, přečtěte si téma Povolit přístup z konkrétních IP adres nebo rozsahů.

   Note

   Pokud chcete odstranit pravidlo virtuální sítě, nejprve odeberte zámek odstranění Azure Resource Manageru ve virtuální síti.

Důvěryhodné služby Microsoftu

Když povolíte povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall, budou k prostředkům služby Event Hubs uděleny následující služby v rámci stejného tenanta.

Důvěryhodná služba	Podporované scénáře použití
Azure Event Grid	Umožňuje službě Azure Event Grid odesílat události do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro téma nebo doménu Přidání identity do role odesílatele dat služby Azure Event Hubs v oboru názvů služby Event Hubs Potom nakonfigurujte odběr událostí, který jako koncový bod používá centrum událostí, aby používal identitu přiřazenou systémem. Další informace najdete v tématu Doručování událostí se spravovanou identitou.
Azure Stream Analytics	Umožňuje úloze Azure Stream Analytics číst data z (vstupu) nebo zapisovat data do (výstupní) center událostí v oboru názvů služby Event Hubs. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby používala spravovanou identitu pro přístup k centru událostí. Další informace najdete v tématu Použití spravovaných identit pro přístup k centru událostí z úlohy Azure Stream Analytics (Preview).
Azure IoT Hub	Umožňuje službě IoT Hub odesílat zprávy do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro službu IoT Hub Přidejte identitu do role Odesílatele dat služby Azure Event Hubs v oboru názvů Event Hubs. Pak nakonfigurujte IoT Hub, který používá centrum událostí jako vlastní koncový bod pro použití ověřování na základě identity.
Azure API Management	Služba API Management umožňuje odesílat události do centra událostí v oboru názvů služby Event Hubs. Vlastní pracovní postupy můžete aktivovat odesláním událostí do centra událostí při vyvolání rozhraní API pomocí zásad odesílání požadavků. Centrum událostí můžete také považovat za back-end v rozhraní API. Ukázkové zásady najdete v tématu Ověřování pomocí spravované identity pro přístup k centru událostí. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem v instanci služby API Management. Pokyny najdete v tématu Použití spravovaných identit ve službě Azure API Management. Přidání identity do role odesílatele dat služby Azure Event Hubs v oboru názvů služby Event Hubs
Azure Monitor (nastavení diagnostiky a skupiny akcí)	Umožňuje službě Azure Monitor odesílat diagnostické informace a oznámení výstrah do center událostí v oboru názvů služby Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí.
Azure Synapse	Umožňuje službě Azure Synapse připojit se k centru událostí pomocí spravované identity pracovního prostoru Synapse. Přidejte do identity v oboru názvů Event Hubs roli odesílatele dat služby Azure Event Hubs, příjemce nebo vlastníka.
Azure Data Explorer	Umožňuje Azure Data Exploreru přijímat události z centra událostí pomocí spravované identity clusteru. Potřebujete provést následující kroky: Konfigurace spravované identity v Azure Data Exploreru Udělte roli příjemce dat azure Event Hubs identitě v centru událostí.
Azure IoT Central	Umožňuje Službě IoT Central exportovat data do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro vaši aplikaci IoT Central. Přidejte identitu do role Odesílatele dat služby Azure Event Hubs v oboru názvů Event Hubs. Pak nakonfigurujte cíl exportu služby Event Hubs ve vaší aplikaci IoT Central tak, aby používal ověřování na základě identit.
Azure Health Data Services	Umožňuje konektor IoT služby Healthcare APIs ingestovat data zdravotnických zařízení z oboru názvů služby Event Hubs a uchovávat data ve vaší nakonfigurované službě FHIR® (Fast Healthcare Interoperability Resources). Konektor IoT by měl být nakonfigurovaný tak, aby pro přístup k centru událostí používal spravovanou identitu. Další informace najdete v tématu Začínáme s konektorem IoT – Azure Healthcare API.
Azure Digital Twins	Umožňuje službě Azure Digital Twins výchozí přenos dat do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro vaši instanci Služby Azure Digital Twins. Přidejte identitu do role Odesílatele dat služby Azure Event Hubs v oboru názvů Event Hubs. Pak nakonfigurujte koncový bod služby Azure Digital Twins nebo připojení historie dat Azure Digital Twins, které k ověření používá identitu přiřazenou systémem. Další informace o konfiguraci koncových bodů a tras událostí do prostředků služby Event Hubs z Azure Digital Twins najdete v tématu Směrování událostí služby Azure Digital Twins a vytváření koncových bodů ve službě Azure Digital Twins.

Další důvěryhodné služby pro Azure Event Hubs najdete níže:

• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Použití šablony Resource Manageru

Tato ukázková šablona Správce prostředků přidává pravidlo pro virtuální síť do existujícího oboru názvů Event Hubs. Určuje ID podsítě ve virtuální síti pro pravidlo sítě.

ID je plně kvalifikovaná cesta Resource Manageru pro podsíť virtuální sítě. Například: /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default.

Při přidávání pravidel virtuální sítě nebo brány firewall nastavte hodnotu defaultAction na Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "eventhubNamespaceName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Event Hubs namespace"
        }
      },
      "virtualNetworkName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Rule"
        }
      },
      "subnetName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Sub Net"
        }
      },
      "location": {
        "type": "string",
        "metadata": {
          "description": "Location for Namespace"
        }
      }
    },
    "variables": {
      "namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
      "subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
    },
    "resources": [
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[parameters('eventhubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Standard",
          "tier": "Standard"
        },
        "properties": { }
      },
      {
        "apiVersion": "2017-09-01",
        "name": "[parameters('virtualNetworkName')]",
        "location": "[parameters('location')]",
        "type": "Microsoft.Network/virtualNetworks",
        "properties": {
          "addressSpace": {
            "addressPrefixes": [
              "10.0.0.0/23"
            ]
          },
          "subnets": [
            {
              "name": "[parameters('subnetName')]",
              "properties": {
                "addressPrefix": "10.0.0.0/23",
                "serviceEndpoints": [
                  {
                    "service": "Microsoft.EventHub"
                  }
                ]
              }
            }
          ]
        }
      },
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[variables('namespaceNetworkRuleSetName')]",
        "type": "Microsoft.EventHub/namespaces/networkruleset",
        "dependsOn": [
          "[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
        ],
        "properties": {
          "publicNetworkAccess": "Enabled",
          "defaultAction": "Deny",
          "virtualNetworkRules": 
          [
            {
              "subnet": {
                "id": "[variables('subNetId')]"
              },
              "ignoreMissingVnetServiceEndpoint": false
            }
          ],
          "ipRules":[],
          "trustedServiceAccessEnabled": false
        }
      }
    ],
    "outputs": { }
  }

Pokud chcete šablonu nasadit, postupujte podle pokynů pro Azure Resource Manager.

Important

Pokud nezadáte žádnou IP adresu nebo pravidla virtuální sítě, veškerý provoz směřuje do oboru názvů, i když nastavíte defaultAction na Deny. Obor názvů je přístupný přes veřejný internet (pomocí přístupového klíče). Pokud chcete povolit provoz jenom ze zadaných IP adres nebo podsítě virtuální sítě, zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů.

Použití Azure CLI

Použijte příkazy az eventhubs namespace network-rule-set ke správě pravidel virtuální sítě pro obor názvů Event Hubs:

• add – Přidání pravidla virtuální sítě
• list - Vypsat všechna pravidla sítě
• update - Aktualizace pravidel sítě
• remove – Odebrat pravidlo virtuální sítě

Použití Azure Powershell

Pomocí následujících příkazů Azure PowerShellu můžete spravovat pravidla virtuální sítě pro obor názvů služby Event Hubs:

Command	Description
Add-AzEventHubVirtualNetworkRule	Přidání pravidla virtuální sítě
New-AzEventHubVirtualNetworkRuleConfig	Vytvořte konfiguraci pravidla virtuální sítě (použijte s Set-AzEventHubNetworkRuleSet)
Set-AzEventHubNetworkRuleSet	Použijte konfiguraci síťového pravidla na obor názvů
Remove-AzEventHubVirtualNetworkRule	Odstranit pravidlo virtuální sítě

Výchozí akce a přístup k veřejné síti

REST API

Chování defaultAction vlastnosti se liší podle verze rozhraní API:

Verze rozhraní API	Výchozí hodnota	Chování
2021-01-01-preview a starší	Deny	Pravidlo zamítnutí se nevynucuje, pokud nenakonfigurujete filtry IP adres nebo pravidla virtuální sítě. Bez pravidel je provoz povolený.
2021-06-01-preview a novější verze	Allow	Služba vynucuje nakonfigurovanou akci. Nastavte na Deny blokování provozu, který neodpovídá vašim pravidlům.

Verze rozhraní API 2021-06-01-preview také představuje vlastnost: publicNetworkAccess

• Enabled - Povolit operace přes veřejný internet
• Disabled - Omezit operace pouze na privátní propojení

Služba si pamatuje pravidla, když je zakážete a znovu povolíte.

Další informace najdete v tématu Vytvoření nebo aktualizace sady pravidel sítě a vytvoření nebo aktualizace připojení privátního koncového bodu.

Note

Nastavení sítě neobcházejí ověřování. Služba vždy ověřuje autentizační tvrzení SAS nebo Microsoft Entra po kontrole pravidel sítě nakonfigurovaných pomocí defaultAction, publicNetworkAccess a privateEndpointConnections.

Azure Portal

Azure Portal vždy používá nejnovější verzi rozhraní API k získání a nastavení vlastností. Pokud jste dříve nakonfigurovali obor názvů pomocí verze 2021-01-01-preview a starších verzí s defaultAction nastavenou hodnotou Denya zadali jste nulové filtry IP adres a pravidla virtuální sítě, portál dříve na stránce Sítě vašeho oboru názvů zkontroloval vybrané sítě. Teď zkontroluje možnost Všechny sítě .

Související obsah

• Koncové body služeb virtuální sítě Azure
• Povolit přístup z konkrétních IP adres nebo rozsahů
• Použití privátních koncových bodů pro Azure Event Hubs