Povolení přístupu k oborům názvů Azure Service Bus prostřednictvím privátních koncových bodů

Azure Private Link Service umožňuje přístup ke službám Azure (například Azure Service Bus, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům/partnerům Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod používá privátní IP adresu z vaší virtuální sítě, což v podstatě přináší službu do vaší virtuální sítě. Veškeré přenosy do služby lze směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure, což vám poskytne nejvyšší úroveň podrobností v řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Důležité body

• Tuto funkci podporuje úroveň Premium Azure Service Bus. Další informace o úrovni Premium najdete v článku Úrovně zasílání zpráv Service Bus Premium a Standard .

• Implementace privátních koncových bodů může zabránit interakci jiných služeb Azure se službou Service Bus. Výjimkou je, že můžete povolit přístup k prostředkům služby Service Bus z určitých důvěryhodných služeb , i když jsou povolené privátní koncové body. Seznam důvěryhodných služeb najdete v tématu Důvěryhodné služby.

  Následující služby Microsoftu musí být ve virtuální síti.

  • Azure App Service
  • Azure Functions

• Zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů, aby se povolil provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla protokolu IP a virtuální sítě, je k oboru názvů možné přistupovat přes veřejný internet (pomocí přístupového klíče).

Přidání privátního koncového bodu pomocí Azure-Portal

Požadavky

K integraci oboru názvů služby Service Bus s Azure Private Link potřebujete následující entity nebo oprávnění:

• Obor názvů služby Service Bus.
• Virtuální síť Azure.
• Podsíť ve virtuální síti. Můžete použít výchozí podsíť.
• Oprávnění vlastníka nebo přispěvatele pro obor názvů služby Service Bus i pro virtuální síť.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast pro privátní koncový bod pomocí portálu, automaticky se vyfiltrují jenom virtuální sítě, které jsou v této oblasti. Obor názvů služby Service Bus může být v jiné oblasti. A privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Konfigurace privátního přístupu při vytváření oboru názvů

Při vytváření oboru názvů můžete buď povolit pouze veřejný přístup (ze všech sítí), nebo pouze privátní přístup (pouze prostřednictvím privátních koncových bodů) k oboru názvů.

Pokud v průvodci vytvořením oboru názvů na stránce Sítě vyberete možnost Privátní přístup, můžete na stránku přidat privátní koncový bod výběrem tlačítka + Privátní koncový bod. Podrobný postup přidání privátního koncového bodu najdete v další části.

Konfigurace privátního přístupu pro existující obor názvů

Pokud už máte existující obor názvů, můžete vytvořit privátní koncový bod pomocí následujícího postupu:

1. Přihlaste se k webu Azure Portal.

2. Na panelu hledání zadejte Service Bus.

3. Ze seznamu vyberte obor názvů , do kterého chcete přidat privátní koncový bod.

4. V nabídce vlevo vyberte možnost Sítě v části Nastavení.

   Poznámka

   Karta Sítě se zobrazí jenom pro obory názvů Premium .

5. Pokud chcete, aby se k oboru názvů přistupovalo pouze přes privátní koncové body, vyberte na stránce Sítě možnost Veřejný přístup k síti.

6. V části Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall vyberte Ano , pokud chcete důvěryhodným službám Microsoftu povolit obejití této brány firewall.

   

7. Pokud chcete povolit přístup k oboru názvů prostřednictvím privátních koncových bodů, vyberte kartu Připojení privátních koncových bodů v horní části stránky.

8. V horní části stránky vyberte tlačítko + Privátní koncový bod .

   

9. Na stránce Základy postupujte takto:

   1. Vyberte předplatné Azure , ve kterém chcete vytvořit privátní koncový bod.

   2. Vyberte skupinu prostředků pro prostředek privátního koncového bodu.

   3. Zadejte název privátního koncového bodu.

   4. Zadejte název síťového rozhraní.

   5. Vyberte oblast pro privátní koncový bod. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může se nacházet v jiné oblasti než prostředek privátního propojení, ke kterému se připojujete.

   6. V dolní části stránky vyberte tlačítko Další: Prostředek > .

      

10. Na stránce Prostředek zkontrolujte nastavení a v dolní části stránky vyberte Další: Virtual Network.

    

11. Na stránce Virtual Network vyberte podsíť ve virtuální síti, do které chcete privátní koncový bod nasadit.

    1. Vyberte virtuální síť. V rozevíracím seznamu jsou uvedené jenom virtuální sítě v aktuálně vybraném předplatném a umístění.
    2. Vyberte podsíť ve virtuální síti, kterou jste vybrali.
    3. Všimněte si, že zásady sítě pro privátní koncové body jsou zakázané. Pokud ho chcete povolit, vyberte Upravit, aktualizujte nastavení a vyberte Uložit.
    4. Pro konfiguraci privátní IP adresy je ve výchozím nastavení vybraná možnost Dynamicky přidělovat IP adresu . Pokud chcete přiřadit statickou IP adresu, vyberte Staticky přidělit IP adresu*.
    5. V části Skupina zabezpečení aplikace vyberte existující skupinu zabezpečení aplikace nebo vytvořte skupinu, která bude přidružená k privátnímu koncovému bodu.
    6. Vyberte Další: tlačítko DNS > v dolní části stránky.

    

12. Na stránce DNS vyberte, jestli chcete privátní koncový bod integrovat se zónou privátního DNS, a pak vyberte Další: Značky.

    

13. Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu. Pak v dolní části stránky vyberte tlačítko Zkontrolovat a vytvořit .

14. V části Zkontrolovat a vytvořit zkontrolujte všechna nastavení a vyberte Vytvořit , abyste vytvořili privátní koncový bod.

    

15. Potvrďte vytvoření privátního koncového bodu. Pokud jste vlastníkem prostředku a u možnosti Metoda připojení jste vybrali možnost Připojit k prostředku Azure v mém adresáři, připojení koncového bodu by se mělo automaticky schválit. Pokud je ve stavu čekání, přečtěte si část Správa privátních koncových bodů pomocí Azure-Portal.

    

Důvěryhodné služby Microsoftu

Když povolíte nastavení Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall , udělí se přístup k vašim prostředkům služby Service Bus následujícím službám.

Důvěryhodná služba	Podporované scénáře použití
Azure Event Grid	Umožňuje Azure Event Grid odesílat události do front nebo témat v oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro téma nebo doménu Přidání identity do role odesílatele dat Azure Service Bus v oboru názvů služby Service Bus Potom nakonfigurujte odběr událostí, který používá frontu nebo téma služby Service Bus jako koncový bod pro použití identity přiřazené systémem. Další informace najdete v tématu Doručování událostí pomocí spravované identity.
Azure Stream Analytics	Umožňuje úloze Azure Stream Analytics výstup dat do front service bus do témat. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby pro přístup k oboru názvů služby Service Bus používala spravovanou identitu . Přidejte identitu do role odesílatele dat Azure Service Bus v oboru názvů služby Service Bus.
Azure IoT Hub	Umožňuje službě IoT Hub odesílat zprávy do front nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolte spravovanou identitu přiřazenou systémem nebo uživatelem pro službu IoT Hub. Přidejte identitu do role odesílatele dat Azure Service Bus v oboru názvů služby Service Bus. Nakonfigurujte IoT Hub, která jako koncový bod používá entitu služby Service Bus, aby používala ověřování na základě identity.
Azure API Management	Služba Gestione API umožňuje odesílat zprávy do fronty nebo tématu služby Service Bus v oboru názvů služby Service Bus. Vlastní pracovní postupy můžete aktivovat odesíláním zpráv do fronty nebo tématu služby Service Bus při vyvolání rozhraní API pomocí zásad odesílání a požadavků. Frontu nebo téma služby Service Bus můžete také považovat za back-end v rozhraní API. Ukázkové zásady najdete v tématu Ověřování pomocí spravované identity pro přístup k frontě služby Service Bus nebo tématu. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem v instanci Gestione API. Pokyny najdete v tématu Použití spravovaných identit v Azure Gestione API. Přidání identity do role odesílatele dat Azure Service Bus v oboru názvů služby Service Bus
Azure IoT Central	Umožňuje službě IoT Central exportovat data do front nebo témat služby Service Bus ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro aplikaci IoT Central Přidejte identitu do role odesílatele dat Azure Service Bus v oboru názvů služby Service Bus. Potom nakonfigurujte cíl exportu služby Service Bus ve vaší aplikaci IoT Central tak, aby používal ověřování na základě identity.
Azure Digital Twins	Umožňuje službě Azure Digital Twins odchozí data do témat služby Service Bus v oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro instanci služby Azure Digital Twins. Přidejte identitu do role odesílatele dat Azure Service Bus v oboru názvů služby Service Bus. Pak nakonfigurujte koncový bod Služby Azure Digital Twins nebo připojení historie dat Azure Digital Twins, které k ověření používá identitu přiřazenou systémem. Další informace o konfiguraci koncových bodů a tras událostí do prostředků služby Service Bus z Azure Digital Twins najdete v tématech Směrování událostí Služby Azure Digital Twins a Vytváření koncových bodů ve službě Azure Digital Twins.
Azure Monitor (nastavení diagnostiky a skupiny akcí)	Umožňuje službě Azure Monitor odesílat diagnostické informace a upozornění do služby Service Bus ve vašem oboru názvů služby Service Bus. Azure Monitor může číst a zapisovat data do oboru názvů služby Service Bus.
Azure Synapse	Umožňuje Azure Synapse připojit se ke službě Service Bus pomocí spravované identity pracovního prostoru Synapse. Přidejte Azure Service Bus roli odesílatele dat, příjemce nebo vlastníka k identitě v oboru názvů služby Service Bus.

Další důvěryhodné služby pro Azure Service Bus najdete níže:

• Průzkumník dat Azure
• Azure Health Data Services
• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Pokud chcete důvěryhodným službám povolit přístup k vašemu oboru názvů, přepněte na kartu Veřejný přístup na stránce Sítě a vyberte Ano u možnosti Povolit důvěryhodným službám Microsoftu obejít tuto bránu firewall?.

Přidání privátního koncového bodu pomocí PowerShellu

Následující příklad ukazuje, jak pomocí Azure PowerShell vytvořit připojení privátního koncového bodu k oboru názvů služby Service Bus.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Obor názvů služby Service Bus může být v jiné oblasti. A privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Správa privátních koncových bodů pomocí Azure-Portal

Při vytváření privátního koncového bodu musí být připojení schváleno. Pokud je prostředek, pro který vytváříte privátní koncový bod, ve vašem adresáři, můžete žádost o připojení schválit za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku vaši žádost o připojení schválí.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Description
Žádná	Čekající	Připojení se vytvoří ručně a čeká na schválení vlastníkem prostředku Private Link.
Schválení	Schválené	Připojení bylo schváleno automaticky nebo ručně a je připravené k použití.
Odmítnout	Zamítnuto	Vlastník prostředku privátního propojení odmítl připojení.
Odebrat	Odpojeno	Připojení odebral vlastník prostředku privátního propojení, privátní koncový bod bude informativní a měl by se odstranit kvůli vyčištění.

Schválení, odmítnutí nebo odebrání připojení privátního koncového bodu

1. Přihlaste se k webu Azure Portal.
2. Na panelu hledání zadejte Service Bus.
3. Vyberte obor názvů , který chcete spravovat.
4. Vyberte kartu Sítě.
5. V závislosti na požadované operaci si projděte příslušnou část: schválení, odmítnutí nebo odebrání.

Schválení připojení privátního koncového bodu

1. Pokud nějaká připojení čekají na vyřízení, zobrazí se připojení se stavem Čeká na vyřízení ve stavu zřizování.

2. Vyberte privátní koncový bod , který chcete schválit.

3. Vyberte tlačítko Schválit .

   

4. Na stránce Schválit připojení zadejte volitelný komentář a vyberte Ano. Pokud vyberete Ne, nic se nestane.

   

5. V seznamu by se měl zobrazit stav připojení změněný na Schváleno.

   

Odmítnutí připojení privátního koncového bodu

1. Pokud chcete odmítnout nějaká připojení privátního koncového bodu, ať už se jedná o čekající žádost nebo existující připojení, které bylo schváleno dříve, vyberte připojení koncového bodu a vyberte tlačítko Odmítnout .

   

2. Na stránce Odmítnout připojení zadejte volitelný komentář a vyberte Ano. Pokud vyberete Ne, nic se nestane.

   

3. Měl by se zobrazit stav připojení v seznamu Změněno Zamítnuto.

   

Odebrání připojení privátního koncového bodu

1. Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat .

   

2. Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.

   

3. Měl by se zobrazit stav změněný na Odpojeno. Koncový bod pak ze seznamu zmizí.

Ověření fungování připojení privátního propojení

Měli byste ověřit, že se prostředky ve virtuální síti privátního koncového bodu připojují k vašemu oboru názvů služby Service Bus přes privátní IP adresu a že mají správnou integraci privátní zóny DNS.

Nejprve vytvořte virtuální počítač podle kroků v tématu Vytvoření virtuálního počítače s Windows v Azure-Portal

Na kartě Sítě :

1. Zadejte Virtuální síť a Podsíť. Musíte vybrat Virtual Network, na který jste nasadili privátní koncový bod.
2. Zadejte prostředek veřejné IP adresy .
3. V části Skupina zabezpečení sítě nic vyberte Žádná.
4. V části Vyrovnávání zatížení vyberte Ne.

Připojte se k virtuálnímu počítači, otevřete příkazový řádek a spusťte následující příkaz:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Měl by se zobrazit výsledek, který vypadá takto.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Omezení a aspekty návrhu

• Informace o cenách najdete v tématu ceny Azure Private Link.
• Tato funkce je dostupná ve všech veřejných oblastech Azure.
• Maximální počet privátních koncových bodů na obor názvů služby Service Bus: 120.
• Provoz je blokovaný v aplikační vrstvě, nikoli ve vrstvě PROTOKOLU TCP. Proto uvidíte úspěšné operace nebo nslookup připojení TCP s veřejným koncovým bodem, i když je veřejný přístup zakázaný.

Další informace najdete v tématu Azure Private Link Service: Omezení.

Další kroky

• Mer informasjon o Azure Private Link
• Mer informasjon o Azure Service Bus