Povolení přístupu k oborům názvů služby Azure Service Bus prostřednictvím privátních koncových bodů

Služba Azure Private Link umožňuje přístup ke službám Azure (například Azure Service Bus, Azure Storage a Azure Cosmos DB) a službám hostovaným zákazníkům nebo partnerům Azure přes privátní koncový bod ve vaší virtuální síti.

Privátní koncový bod je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službám využívajícím službu Azure Private Link. Privátní koncový bod využívá privátní IP adresu z vaší virtuální sítě, a tím skutečně přináší danou službu do vaší virtuální sítě. Veškeré přenosy do služby je možné směrovat přes privátní koncový bod, takže nejsou potřeba žádné brány, zařízení NAT, připojení ExpressRoute nebo VPN ani veřejné IP adresy. Provoz mezi vaší virtuální sítí a službou prochází přes páteřní síť Microsoftu a eliminuje rizika vystavení na veřejném internetu. Můžete se připojit k instanci prostředku Azure a získat tak nejvyšší úroveň členitosti řízení přístupu.

Další informace najdete v tématu Co je Azure Private Link?

Důležité body

• Tato funkce je podporovaná s úrovní Premium služby Azure Service Bus. Další informace o úrovni Premium najdete v článku o úrovních zasílání zpráv Service Bus Premium a Standard.

• Implementace privátních koncových bodů může zabránit interakci jiných služeb Azure se službou Service Bus. Jako výjimku můžete povolit přístup k prostředkům služby Service Bus z určitých důvěryhodných služeb i v případě, že jsou povolené privátní koncové body. Seznam důvěryhodných služeb naleznete v tématu Důvěryhodné služby.

  Následující služby Microsoft musí být ve virtuální síti.

  • Azure App Service
  • Azure Functions

• Zadejte alespoň jedno pravidlo PROTOKOLU IP nebo pravidlo virtuální sítě pro obor názvů, které povolí provoz pouze ze zadaných IP adres nebo podsítě virtuální sítě. Pokud neexistují žádná pravidla PROTOKOLU IP a virtuální sítě, je možné k oboru názvů přistupovat přes veřejný internet (pomocí přístupového klíče).

Přidání privátního koncového bodu pomocí webu Azure Portal

Požadavky

Pokud chcete integrovat obor názvů služby Service Bus se službou Azure Private Link, potřebujete následující entity nebo oprávnění:

• Obor názvů služby Service Bus.
• Virtuální síť Azure.
• Podsíť ve virtuální síti. Můžete použít výchozí podsíť.
• Oprávnění vlastníka nebo přispěvatele pro obor názvů služby Service Bus i pro virtuální síť.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Když vyberete oblast privátního koncového bodu pomocí portálu, automaticky vyfiltruje jenom virtuální sítě, které jsou v dané oblasti. Obor názvů služby Service Bus může být v jiné oblasti. Privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

Konfigurace privátního přístupu při vytváření oboru názvů

Při vytváření oboru názvů můžete buď povolit veřejný přístup (ze všech sítí) nebo pouze privátní přístup (pouze prostřednictvím privátních koncových bodů) k oboru názvů.

Pokud vyberete možnost Privátní přístup na stránce Sítě průvodce vytvořením oboru názvů, můžete na stránce přidat privátní koncový bod výběrem tlačítka + Privátní koncový bod. Podrobný postup přidání privátního koncového bodu najdete v další části.

Konfigurace privátního přístupu pro existující obor názvů

Pokud už máte existující obor názvů, můžete privátní koncový bod vytvořit pomocí následujícího postupu:

1. Přihlaste se k portálu Azure.

2. Na panelu hledání zadejte Service Bus.

3. V seznamu vyberte obor názvů, do kterého chcete přidat privátní koncový bod.

4. V nabídce vlevo vyberte možnost Sítě v části Nastavení.

   Poznámka

   Zobrazí se karta Sítě pouze pro obory názvů Premium .

5. Na stránce Sítě vyberte pro přístup k veřejné síti možnost Zakázáno, pokud chcete, aby byl obor názvů přístupný pouze prostřednictvím privátních koncových bodů.

6. Chcete-li povolit důvěryhodné služby Microsoft obejít tuto bránu firewall, vyberte možnost Ano, pokud chcete povolit důvěryhodné služby Microsoft obejít tuto bránu firewall.

7. Na panelu nástrojů vyberte Uložit.

   

8. Pokud chcete povolit přístup k oboru názvů prostřednictvím privátních koncových bodů, vyberte kartu Připojení privátního koncového bodu v horní části stránky.

9. V horní části stránky vyberte tlačítko + privátní koncový bod.

   

10. Na stránce Základy postupujte takto:

    1. Vyberte předplatné Azure, ve kterém chcete vytvořit privátní koncový bod.

    2. Vyberte skupinu prostředků pro prostředek privátního koncového bodu.

    3. Zadejte název privátního koncového bodu.

    4. Zadejte název síťového rozhraní.

    5. Vyberte oblast privátního koncového bodu. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než prostředek privátního propojení, ke kterému se připojujete.

    6. Výběr tlačítka Další: Prostředek > v dolní části stránky

       

11. Na stránce Prostředek zkontrolujte nastavení a vyberte Další: Virtuální síť v dolní části stránky.

    

12. Na stránce Virtuální síť vyberete podsíť ve virtuální síti, do které chcete privátní koncový bod nasadit.

    1. Vyberte virtuální síť. V rozevíracím seznamu jsou uvedené jenom virtuální sítě v aktuálně vybraném předplatném a umístění.
    2. Vyberte podsíť ve virtuální síti, kterou jste vybrali.
    3. Všimněte si, že jsou zakázané zásady sítě pro privátní koncové body . Pokud ho chcete povolit, vyberte Upravit, aktualizujte nastavení a vyberte Uložit.
    4. U konfigurace privátní IP adresy je ve výchozím nastavení vybraná možnost Dynamicky přidělovat IP adresu . Pokud chcete přiřadit statickou IP adresu, vyberte Staticky přidělit IP adresu*.
    5. V případě skupiny zabezpečení aplikace vyberte existující skupinu zabezpečení aplikace nebo vytvořte skupinu zabezpečení aplikace, která se má přidružit k privátnímu koncovému bodu.
    6. Vyberte Další: Tlačítko DNS > v dolní části stránky.

    

13. Na stránce DNS vyberte, jestli má být privátní koncový bod integrovaný s privátní zónou DNS, a pak vyberte Další: Značky.

    

14. Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu. Pak v dolní části stránky vyberte Tlačítko Zkontrolovat a vytvořit .

15. V části Zkontrolovat a vytvořit zkontrolujte všechna nastavení a výběrem možnosti Vytvořit vytvořte privátní koncový bod.

    

16. Ověřte, že je vytvořený privátní koncový bod. Pokud jste vlastníkem prostředku, na stránce Sítě oboru názvů služby Service Bus by mělo být připojení koncového bodu automaticky schváleno. Pokud je ve stavu čekání , přečtěte si část Správa privátních koncových bodů pomocí webu Azure Portal .

    

Důvěryhodné služby Microsoftu

Když povolíte povolit důvěryhodné služby Microsoft obejít toto nastavení brány firewall, budou k vašim prostředkům služby Service Bus uděleny následující služby.

Důvěryhodná služba	Podporované scénáře použití
Azure Event Grid	Umožňuje službě Azure Event Grid odesílat události do front nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro téma nebo doménu Přidání identity do role odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus Potom nakonfigurujte odběr událostí, který jako koncový bod používá frontu nebo téma služby Service Bus, aby používal identitu přiřazenou systémem. Další informace najdete v tématu Doručování událostí se spravovanou identitou.
Azure Stream Analytics	Umožňuje úloze Azure Stream Analytics výstupní data do front Service Bus do témat. Důležité: Úloha Stream Analytics by měla být nakonfigurovaná tak, aby používala spravovanou identitu pro přístup k oboru názvů služby Service Bus. Přidejte identitu do role Odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus.
Azure IoT Hub	Umožňuje službě IoT Hub odesílat zprávy do front nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolte spravovanou identitu přiřazenou systémem nebo uživatelem přiřazenou pro vaše centrum IoT. Přidejte identitu do role Odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus. Nakonfigurujte Službu IoT Hub, která používá entitu Service Bus jako koncový bod pro použití ověřování založeného na identitě.
Azure API Management	Služba API Management umožňuje odesílat zprávy do fronty nebo tématu služby Service Bus ve vašem oboru názvů služby Service Bus. Vlastní pracovní postupy můžete aktivovat odesláním zpráv do fronty nebo tématu služby Service Bus při vyvolání rozhraní API pomocí zásad pro odeslání žádosti. Frontu nebo téma služby Service Bus můžete zacházet také jako s back-endem v rozhraní API. Ukázkové zásady najdete v tématu Ověřování pomocí spravované identity pro přístup k frontě nebo tématu služby Service Bus. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem v instanci služby API Management. Pokyny najdete v tématu Použití spravovaných identit ve službě Azure API Management. Přidání identity do role odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus
Azure IoT Central	Umožňuje Službě IoT Central exportovat data do front služby Service Bus nebo témat ve vašem oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolení identity přiřazené systémem pro vaši aplikaci IoT Central Přidejte identitu do role Odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus. Pak nakonfigurujte cíl exportu služby Service Bus v aplikaci IoT Central tak, aby používal ověřování na základě identit.
Azure Digital Twins	Umožňuje službě Azure Digital Twins odchozí data do témat služby Service Bus v oboru názvů služby Service Bus. Musíte také provést následující kroky: Povolte identitu přiřazenou systémem pro vaši instanci Služby Azure Digital Twins. Přidejte identitu do role Odesílatele dat služby Azure Service Bus v oboru názvů služby Service Bus. Pak nakonfigurujte koncový bod služby Azure Digital Twins nebo připojení historie dat Azure Digital Twins, které k ověření používá identitu přiřazenou systémem. Další informace o konfiguraci koncových bodů a tras událostí do prostředků služby Service Bus z Azure Digital Twins najdete v tématu Směrování událostí služby Azure Digital Twins a vytváření koncových bodů ve službě Azure Digital Twins.
Azure Monitor (nastavení diagnostiky a skupiny akcí)	Umožňuje službě Azure Monitor odesílat diagnostické informace a oznámení výstrah do služby Service Bus v oboru názvů služby Service Bus. Azure Monitor může číst a zapisovat data do oboru názvů služby Service Bus.
Azure Synapse	Umožňuje službě Azure Synapse připojit se ke službě Service Bus pomocí spravované identity pracovního prostoru Synapse. Přidejte do identity v oboru názvů služby Service Bus roli odesílatele dat služby Azure Service Bus, příjemce nebo vlastníka.

Další důvěryhodné služby pro Azure Service Bus najdete níže:

• Průzkumník dat Azure
• Azure Health Data Services
• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview
• Microsoft Defender for Cloud
• Centrum poskytovatelů Azure

Chcete-li povolit důvěryhodným službám přístup k vašemu oboru názvů, přepněte na kartu Veřejný přístup na stránce Sítě a u možnosti Povolit důvěryhodné služby Microsoft tuto bránu firewall obejít?

Přidání privátního koncového bodu pomocí PowerShellu

Následující příklad ukazuje, jak pomocí Azure PowerShellu vytvořit připojení privátního koncového bodu k oboru názvů služby Service Bus.

Privátní koncový bod a virtuální síť musí být ve stejné oblasti. Obor názvů služby Service Bus může být v jiné oblasti. Privátní koncový bod používá privátní IP adresu ve vaší virtuální síti.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Správa privátních koncových bodů pomocí webu Azure Portal

Když vytvoříte privátní koncový bod, musí být připojení schváleno. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři, můžete schválit žádost o připojení za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Popis
Nic	Nevyřízeno	Připojení se vytvoří ručně a čeká na schválení od vlastníka prostředku Private Link.
Schválit	Schválený	Připojení bylo automaticky nebo ručně schváleno a je připravené k použití.
Odmítnout	Zamítnuto	Vlastník prostředku privátního propojení odmítl připojení.
Odebrat	Odpojeno	Vlastník prostředku privátního propojení odebral připojení. Privátní koncový bod se stane informativním a měl by být odstraněn pro vyčištění.

Schválení, odmítnutí nebo odebrání připojení privátního koncového bodu

1. Přihlaste se k portálu Azure.
2. Na panelu hledání zadejte Service Bus.
3. Vyberte obor názvů, který chcete spravovat.
4. Vyberte kartu Sítě.
5. Na základě požadované operace se podívejte na příslušnou část: schválit, odmítnout nebo odebrat.

Odmítnutí připojení privátního koncového bodu

1. Pokud existují nějaká připojení privátního koncového bodu, která chcete odmítnout, ať už se jedná o nevyřízenou žádost nebo existující připojení schválené dříve, vyberte připojení koncového bodu a vyberte tlačítko Odmítnout .

   

2. Na stránce Odmítnout připojení zadejte volitelný komentář a vyberte Ano. Pokud vyberete Ne, nic se nestane.

   

3. V seznamu by se měl zobrazit stav připojení, které se změnilo.

   

Odebrání připojení privátního koncového bodu

1. Pokud chcete odebrat připojení privátního koncového bodu, vyberte ho v seznamu a na panelu nástrojů vyberte Odebrat .

   

2. Na stránce Odstranit připojení vyberte Ano a potvrďte odstranění privátního koncového bodu. Pokud vyberete Ne, nic se nestane.

   

3. Měl by se zobrazit stav změněný na Odpojeno. Koncový bod pak zmizí ze seznamu.

Schválení připojení privátního koncového bodu

1. Pokud existují nějaká čekající připojení, zobrazí se ve stavu zřizování připojení čekající na vyřízení .
2. Vyberte privátní koncový bod, který chcete schválit.
3. Na panelu nástrojů vyberte tlačítko Schválit.
4. Na stránce Schválit připojení zadejte volitelný komentář a vyberte Ano. Pokud vyberete Ne, nic se nestane.
5. V seznamu by se měl zobrazit stav připojení, které se změnilo na Schválené.

Ověřte, že funguje připojení privátního propojení.

Měli byste ověřit, že se prostředky ve virtuální síti privátního koncového bodu připojují k vašemu oboru názvů služby Service Bus přes privátní IP adresu a že mají správnou integraci zóny privátního DNS.

Nejprve vytvořte virtuální počítač podle kroků v části Vytvoření virtuálního počítače s Windows na webu Azure Portal.

Na kartě Sítě:

1. Zadejte virtuální síť a podsíť. Musíte vybrat virtuální síť, na které jste nasadili privátní koncový bod.
2. Zadejte prostředek veřejné IP adresy.
3. V případě skupiny zabezpečení sítě síťových adaptérů vyberte Žádné.
4. Pro vyrovnávání zatížení vyberte Ne.

Připojte se k virtuálnímu počítači, otevřete příkazový řádek a spusťte následující příkaz:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Měl by se zobrazit výsledek, který vypadá nějak takto.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Aspekty omezení a návrhu

• Informace o cenách najdete v tématu s cenami služby Azure Private Link.
• Tato funkce je dostupná ve všech veřejných oblastech Azure.
• Maximální počet privátních koncových bodů na obor názvů služby Service Bus: 120.
• Provoz je zablokovaný v aplikační vrstvě, ne ve vrstvě TCP. Proto se zobrazí úspěšné připojení TCP nebo nslookup operace vůči veřejnému koncovému bodu, i když je veřejný přístup zakázaný.

Další informace najdete ve službě Azure Private Link: Omezení

Další kroky

• Další informace o službě Azure Private Link
• Další informace o službě Azure Service Bus