Povolení přístupu k oborům názvů služby Azure Event Hubs prostřednictvím privátních koncových bodů

Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Event Hubs, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, a tím skutečně přináší danou službu do vaší virtuální sítě. Veškerý provoz do služby se směruje přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Důležité body

• Tato funkce není ve vrstvě Basic podporovaná.
• Povolení privátních koncových bodů může zabránit jiným službám Azure v interakci se službou Event Hubs. Mezi blokované požadavky patří ty z jiných služeb Azure, z webu Azure Portal, z protokolování a služeb metrik atd. Jako výjimku můžete povolit přístup k prostředkům služby Event Hubs z určitých důvěryhodných služeb i v případě, že jsou povolené privátní koncové body. Seznam důvěryhodných služeb naleznete v tématu Důvěryhodné služby.
• Zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla PROTOKOLU IP a virtuální sítě, je možné k oboru názvů přistupovat přes veřejný internet (pomocí přístupového klíče).

Přidání privátního koncového bodu pomocí webu Azure Portal

Požadavky

Pokud chcete integrovat obor názvů služby Event Hubs se službou Azure Private Link, potřebujete následující entity nebo oprávnění:

• Obor názvů služby Event Hubs.
• Virtuální síť Azure.
• Podsíť ve virtuální síti. Můžete použít výchozí podsíť.
• Oprávnění vlastníka nebo přispěvatele pro obor názvů i virtuální síť.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast privátního koncového bodu pomocí portálu, automaticky vyfiltruje virtuální sítě, které jsou v dané oblasti. Obor názvů může být v jiné oblasti.

Váš privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Konfigurace privátního přístupu při vytváření oboru názvů

Při vytváření oboru názvů můžete buď povolit veřejný přístup (ze všech sítí) nebo pouze privátní přístup (pouze prostřednictvím privátních koncových bodů) k oboru názvů.

Pokud vyberete možnost Privátní přístup na stránce Sítě průvodce vytvořením oboru názvů, můžete na stránce přidat privátní koncový bod výběrem tlačítka + Privátní koncový bod. Podrobný postup přidání privátního koncového bodu najdete v další části.

Konfigurace privátního přístupu pro existující obor názvů

Pokud už máte obor názvů služby Event Hubs, můžete vytvořit připojení privátního propojení pomocí následujícího postupu:

1. Přihlaste se k portálu Azure.

2. Na panelu hledání zadejte centrum událostí.

3. V seznamu vyberte obor názvů, do kterého chcete přidat privátní koncový bod.

4. Na stránce Sítě vyberte pro přístup k veřejné síti možnost Zakázáno, pokud chcete, aby byl obor názvů přístupný pouze prostřednictvím privátních koncových bodů.

5. Chcete-li povolit důvěryhodné služby Microsoft obejít tuto bránu firewall, vyberte možnost Ano, pokud chcete povolit důvěryhodné služby Microsoft obejít tuto bránu firewall.

   

6. Přepněte na kartu Připojení privátního koncového bodu.

7. V horní části stránky vyberte tlačítko + privátní koncový bod.

   

8. Na stránce Základy postupujte takto:

   1. Vyberte předplatné Azure, ve kterém chcete vytvořit privátní koncový bod.

   2. Vyberte skupinu prostředků pro prostředek privátního koncového bodu.

   3. Zadejte název privátního koncového bodu.

   4. Zadejte název síťového rozhraní.

   5. Vyberte oblast privátního koncového bodu. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než prostředek privátního propojení, ke kterému se připojujete.

   6. Výběr tlačítka Další: Prostředek > v dolní části stránky

      

9. Na stránce Prostředek zkontrolujte nastavení a vyberte Další: Virtuální síť.

   

10. Na stránce Virtuální síť vyberete podsíť ve virtuální síti, do které chcete privátní koncový bod nasadit.

    1. Vyberte virtuální síť. V rozevíracím seznamu jsou uvedené jenom virtuální sítě v aktuálně vybraném předplatném a umístění.

    2. Vyberte podsíť ve virtuální síti, kterou jste vybrali.

    3. Všimněte si, že jsou zakázané zásady sítě pro privátní koncové body . Pokud ho chcete povolit, vyberte Upravit, aktualizujte nastavení a vyberte Uložit.

    4. U konfigurace privátní IP adresy je ve výchozím nastavení vybraná možnost Dynamicky přidělovat IP adresu . Pokud chcete přiřadit statickou IP adresu, vyberte Staticky přidělit IP adresu*.

    5. V případě skupiny zabezpečení aplikace vyberte existující skupinu zabezpečení aplikace nebo vytvořte skupinu zabezpečení aplikace, která se má přidružit k privátnímu koncovému bodu.

    6. Vyberte Další: Tlačítko DNS > v dolní části stránky.

       

11. Na stránce DNS vyberte, jestli má být privátní koncový bod integrovaný s privátní zónou DNS, a pak vyberte Další: Značky.

12. Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu. Pak v dolní části stránky vyberte Tlačítko Zkontrolovat a vytvořit .

13. V části Zkontrolovat a vytvořit zkontrolujte všechna nastavení a výběrem možnosti Vytvořit vytvořte privátní koncový bod.

    

14. Ověřte, že se v seznamu koncových bodů zobrazuje připojení privátního koncového bodu, které jste vytvořili. Aktualizujte stránku a přepněte na kartu Připojení privátního koncového bodu. V tomto příkladu se privátní koncový bod automaticky schválí, protože jste se připojili k prostředku Azure ve vašem adresáři a máte dostatečná oprávnění.

    

Důvěryhodné služby Microsoftu

Když povolíte povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall, budou k prostředkům služby Event Hubs uděleny následující služby v rámci stejného tenanta.

Důvěryhodná služba	Podporované scénáře použití
Azure Event Grid	Umožňuje službě Azure Event Grid odesílat události do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro téma nebo doménu Přidání identity do role odesílatele dat služby Azure Event Hubs v oboru názvů služby Event Hubs Potom nakonfigurujte odběr událostí, který jako koncový bod používá centrum událostí, aby používal identitu přiřazenou systémem. Další informace najdete v tématu Doručování událostí se spravovanou identitou.
Azure Stream Analytics	Umožňuje úloze Azure Stream Analytics číst data z (vstupu) nebo zapisovat data do (výstupní) center událostí v oboru názvů služby Event Hubs. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby používala spravovanou identitu pro přístup k centru událostí. Další informace najdete v tématu Použití spravovaných identit pro přístup k centru událostí z úlohy Azure Stream Analytics (Preview).
Azure IoT Hub	Umožňuje službě IoT Hub odesílat zprávy do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro službu IoT Hub Přidejte identitu do role Odesílatele dat služby Azure Event Hubs v oboru názvů Event Hubs. Pak nakonfigurujte IoT Hub, který používá centrum událostí jako vlastní koncový bod pro použití ověřování na základě identity.
Azure API Management	Služba API Management umožňuje odesílat události do centra událostí v oboru názvů služby Event Hubs. Vlastní pracovní postupy můžete aktivovat odesláním událostí do centra událostí při vyvolání rozhraní API pomocí zásad odesílání požadavků. Centrum událostí můžete také považovat za back-end v rozhraní API. Ukázkové zásady najdete v tématu Ověřování pomocí spravované identity pro přístup k centru událostí. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem v instanci služby API Management. Pokyny najdete v tématu Použití spravovaných identit ve službě Azure API Management. Přidání identity do role odesílatele dat služby Azure Event Hubs v oboru názvů služby Event Hubs
Azure Monitor (nastavení diagnostiky a skupiny akcí)	Umožňuje službě Azure Monitor odesílat diagnostické informace a oznámení výstrah do center událostí v oboru názvů služby Event Hubs. Azure Monitor může číst z centra událostí a také zapisovat data do centra událostí.
Azure Synapse	Umožňuje službě Azure Synapse připojit se k centru událostí pomocí spravované identity pracovního prostoru Synapse. Přidejte do identity v oboru názvů Event Hubs roli odesílatele dat služby Azure Event Hubs, příjemce nebo vlastníka.
Průzkumník dat Azure	Umožňuje Azure Data Exploreru přijímat události z centra událostí pomocí spravované identity clusteru. Potřebujete provést následující kroky: Konfigurace spravované identity v Azure Data Exploreru Udělte roli příjemce dat azure Event Hubs identitě v centru událostí.
Azure IoT Central	Umožňuje Službě IoT Central exportovat data do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro vaši aplikaci IoT Central. Přidejte identitu do role Odesílatele dat služby Azure Event Hubs v oboru názvů Event Hubs. Pak nakonfigurujte cíl exportu služby Event Hubs ve vaší aplikaci IoT Central tak, aby používal ověřování na základě identit.
Azure Health Data Services	Umožňuje konektor IoT služby Healthcare APIs ingestovat data zdravotnických zařízení z oboru názvů služby Event Hubs a uchovávat data ve vaší nakonfigurované službě FHIR® (Fast Healthcare Interoperability Resources). Konektor IoT by měl být nakonfigurovaný tak, aby pro přístup k centru událostí používal spravovanou identitu. Další informace najdete v tématu Začínáme s konektorem IoT – Azure Healthcare API.
Azure Digital Twins	Umožňuje službě Azure Digital Twins výchozí přenos dat do center událostí v oboru názvů služby Event Hubs. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro vaši instanci Služby Azure Digital Twins. Přidejte identitu do role Odesílatele dat služby Azure Event Hubs v oboru názvů Event Hubs. Pak nakonfigurujte koncový bod služby Azure Digital Twins nebo připojení historie dat Azure Digital Twins, které k ověření používá identitu přiřazenou systémem. Další informace o konfiguraci koncových bodů a tras událostí do prostředků služby Event Hubs z Azure Digital Twins najdete v tématu Směrování událostí služby Azure Digital Twins a vytváření koncových bodů ve službě Azure Digital Twins.

Další důvěryhodné služby pro Azure Event Hubs najdete níže:

• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Chcete-li povolit důvěryhodným službám přístup k vašemu oboru názvů, přepněte na kartu Veřejný přístup na stránce Sítě a u možnosti Povolit důvěryhodné služby Microsoft tuto bránu firewall obejít?

Přidání privátního koncového bodu pomocí PowerShellu

Následující příklad ukazuje, jak pomocí Azure PowerShellu vytvořit připojení privátního koncového bodu. Nevytáčí pro vás vyhrazený cluster. Postupujte podle kroků v tomto článku a vytvořte vyhrazený cluster Event Hubs.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Konfigurace privátní zóny DNS

Vytvořte privátní zónu DNS pro doménu služby Event Hubs a vytvořte propojení přidružení s virtuální sítí:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Správa privátních koncových bodů pomocí webu Azure Portal

Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři, můžete schválit žádost o připojení za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Popis
Nic	Nevyřízeno	Připojení se vytvoří ručně a čeká na schválení od vlastníka prostředku Private Link.
Schválit	Schválený	Připojení bylo automaticky nebo ručně schváleno a je připravené k použití.
Odmítnout	Zamítnuto	Vlastník prostředku privátního propojení odmítl připojení.
Odebrat	Odpojeno	Vlastník prostředku privátního propojení odebral připojení. Privátní koncový bod se stane informativním a měl by být odstraněn pro vyčištění.

Schválení, odmítnutí nebo odebrání připojení privátního koncového bodu

1. Přihlaste se k portálu Azure.
2. Na panelu hledání zadejte centrum událostí.
3. Vyberte obor názvů, který chcete spravovat.
4. Vyberte kartu Sítě.
5. V závislosti na operaci, kterou chcete provést, přejděte do příslušné části: schválit, odmítnout nebo odebrat.

Schválení připojení privátního koncového bodu

1. Pokud existují nějaká čekající připojení, zobrazí se ve stavu zřizování připojení čekající na vyřízení .

2. Vyberte privátní koncový bod, který chcete schválit.

3. Vyberte tlačítko Schválit.

   

4. Na stránce Schválit připojení přidejte komentář (volitelné) a vyberte Ano. Pokud vyberete Ne, nic se nestane.

5. V seznamu by se měl zobrazit stav připojení privátního koncového bodu na Schváleno.

Odmítnutí připojení privátního koncového bodu

1. Pokud existují nějaká připojení privátního koncového bodu, která chcete odmítnout, ať už se jedná o nevyřízenou žádost nebo existující připojení, vyberte připojení a vyberte tlačítko Odmítnout .

   

2. Na stránce Odmítnout připojení zadejte komentář (volitelné) a vyberte Ano. Pokud vyberete Ne, nic se nestane.

3. V seznamu by se měl zobrazit stav připojení privátního koncového bodu na Odmítnuto.

Odebrání připojení privátního koncového bodu

1. Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat .
2. Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.
3. Měl by se zobrazit stav změněný na Odpojeno. Koncový bod pak zmizí ze seznamu.

Ověřte, že funguje připojení privátního propojení.

Měli byste ověřit, že se prostředky ve virtuální síti privátního koncového bodu připojují k oboru názvů služby Event Hubs přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v části Vytvoření virtuálního počítače s Windows na webu Azure Portal.

Na kartě Sítě:

1. Zadejte virtuální síť a podsíť. Musíte vybrat virtuální síť, na které jste nasadili privátní koncový bod.
2. Zadejte prostředek veřejné IP adresy.
3. V případě skupiny zabezpečení sítě síťových adaptérů vyberte Žádné.
4. Pro vyrovnávání zatížení vyberte Ne.

Připojte se k virtuálnímu počítači, otevřete příkazový řádek a spusťte následující příkaz:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Měl by se zobrazit výsledek, který vypadá nějak takto.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Aspekty omezení a návrhu

• Informace o cenách najdete v tématu s cenami služby Azure Private Link.
• Tato funkce je dostupná ve všech veřejných oblastech Azure.
• Maximální počet privátních koncových bodů na obor názvů služby Event Hubs: 120.
• Provoz je zablokovaný v aplikační vrstvě, ne ve vrstvě TCP. Proto se zobrazí úspěšné připojení TCP nebo nslookup operace vůči veřejnému koncovému bodu, i když je veřejný přístup zakázaný.

Další informace najdete ve službě Azure Private Link: Omezení

Související obsah

• Další informace o službě Azure Private Link
• Další informace o službě Azure Event Hubs