Privát végpontok konfigurálása Azure Event Grid egyéni témakörökhöz vagy tartományokhoz

Privát végpontok használatával a nyilvános interneten keresztül biztonságosan engedélyezheti az események közvetlen bejövő forgalmát a virtuális hálózatról az egyéni témakörökbe és tartományokba egy privát kapcsolaton keresztül. A privát végpont a virtuális hálózat címteréből származó IP-címet használja az egyéni témakörhöz vagy tartományhoz. További fogalmi információkért lásd: Hálózati biztonság.

Ez a cikk bemutatja, hogyan konfigurálhat privát végpontokat egyéni témakörökhöz vagy tartományokhoz.

Megjegyzés

A privát végpontok jelenleg nem támogatottak a rendszertémakörökben.

Az Azure Portal használata

Ez a szakasz bemutatja, hogyan hozhat létre privát végpontot egy témakörhöz vagy tartományhoz a Azure Portal használatával.

Megjegyzés

Az ebben a szakaszban bemutatott lépések többnyire egyéni témakörökhöz tartoznak. Hasonló lépésekkel privát végpontokat hozhat létre a tartományokhoz.

Új témakör létrehozásakor

Ez a szakasz bemutatja, hogyan engedélyezheti a magánhálózati hozzáférést egy Event Grid-témakörhöz vagy tartományhoz. Ha részletes útmutatást szeretne adni egy új témakör létrehozásához, olvassa el az Egyéni témakör létrehozása című témakört.

1. A Témakör létrehozása varázsló Alapszintű beállításai lapján válassza a Tovább: Hálózatkezelés lehetőséget a lap alján, miután kitöltötte a szükséges mezőket.

   

2. Ha privát végponton keresztül szeretné engedélyezni az Event Grid-témakörhöz való hozzáférést, válassza a Privát hozzáférés lehetőséget.

   

3. A privát végpont hozzáadásának lépéseit a következő szakaszban találja.

Meglévő témakör esetén

1. Jelentkezzen be a Azure Portal, és keresse meg a témakört vagy tartományt.

2. Váltson a témakörlap Hálózatkezelés lapjára. A Nyilvános hozzáférés lapon válassza a Csak privát végpontok lehetőséget.

   

3. Váltson a Privát végpont kapcsolatai lapra, majd válassza a + Privát végpont lehetőséget az eszköztáron.

   

4. Az Alapok lapon kövesse az alábbi lépéseket:

   1. Válassza ki azt az Azure-előfizetést , amelyben létre szeretné hozni a privát végpontot.

   2. Válasszon ki egy Azure-erőforráscsoportot a privát végponthoz.

   3. Adja meg a végpontnevét.

   4. Szükség esetén frissítse a hálózati adapternevét.

   5. Válassza ki a végpont régióját . A privát végpontnak ugyanabban a régióban kell lennie, mint a virtuális hálózat, de a privát kapcsolat erőforrásától eltérő régióban is lehet (ebben a példában egy Event Grid-témakör).

   6. Ezután válassza a Tovább: Erőforrás > gombot a lap alján.

      

5. Az Erőforrás lapon kövesse az alábbi lépéseket, győződjön meg arról, hogy a témakör ki van jelölve a Cél alerőforrás területen, majd válassza a Tovább: Virtual Network > gombot a lap alján.

   

6. A Virtual Network lapon kiválasztja azt az alhálózatot egy virtuális hálózatban, ahová a privát végpontot telepíteni szeretné.

   1. Válasszon ki egy virtuális hálózatot. A legördülő listában csak az aktuálisan kiválasztott előfizetésben és helyen található virtuális hálózatok szerepelnek.

   2. Válasszon ki egy alhálózatot a kiválasztott virtuális hálózatban.

   3. Adja meg, hogy statikusan vagy dinamikusan szeretné-e lefoglalni az IP-címet .

   4. Válasszon ki egy meglévő alkalmazásbiztonsági csoportot , vagy hozzon létre egyet, majd társítsa a privát végponthoz.

   5. Válassza a Tovább: DNS > gombot a lap alján.

      

7. A DNS lapon válassza ki, hogy szeretné-e a privát végpontot integrálni egy privát DNS-zónával, majd válassza a Tovább: Címkék lehetőséget a lap alján.

   

8. A Címkék lapon hozza létre a privát végpont erőforrásához társítani kívánt címkéket (neveket és értékeket). Ezután válassza a Véleményezés + létrehozás gombot az oldal alján.

9. A Felülvizsgálat + létrehozás lapon tekintse át az összes beállítást, majd válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

Privát kapcsolati kapcsolat kezelése

Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik a megfelelő engedélyekkel. Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, hogy az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.

Négy kiépítési állapot létezik:

Szolgáltatásművelet	Szolgáltatásfelhasználó privát végpontjának állapota	Leírás
Nincs	Függőben	A kapcsolat manuálisan jön létre, és a privát kapcsolat erőforrás-tulajdonosától függőben van.
Jóváhagyás	Approved	A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
Elutasítás	Elutasítva	A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot.
Eltávolítás	Leválasztott	A privát kapcsolat erőforrás-tulajdonosa eltávolította a kapcsolatot, a privát végpont tájékoztató jellegűvé válik, és törölni kell a törléshez.

Privát végpontkapcsolat kezelése

Az alábbi szakaszok bemutatják, hogyan hagyhat jóvá vagy utasíthat el privát végpontkapcsolatokat.

1. Jelentkezzen be az Azure Portal.
2. A keresősávba írja be az Event Grid-témaköröket vagy az Event Grid-tartományokat.
3. Válassza ki a kezelni kívánt témakört vagy tartományt .
4. Válassza a Hálózatkezelés lapot.
5. Ha vannak függőben lévő kapcsolatok, a Függőben állapotú kapcsolat jelenik meg.

Privát végpont jóváhagyása

Jóváhagyhat egy függőben lévő privát végpontot. A jóváhagyáshoz kövesse az alábbi lépéseket:

Megjegyzés

Az ebben a szakaszban bemutatott lépések többnyire témakörökhöz kapcsolódnak. Hasonló lépésekkel jóváhagyhatja a tartományok privát végpontjait.

1. Válassza ki a jóváhagyni kívánt privát végpontot , és válassza a Jóváhagyás lehetőséget az eszköztáron.

   

2. A Kapcsolat jóváhagyása párbeszédpanelen írjon be egy megjegyzést (nem kötelező), és válassza az Igen lehetőséget.

   

3. Győződjön meg arról, hogy a végpont állapota Jóváhagyva.

   

Privát végpont elutasítása

Elutasíthat egy függőben lévő vagy jóváhagyott állapotban lévő privát végpontot. Az elutasításhoz kövesse az alábbi lépéseket:

Megjegyzés

Az ebben a szakaszban ismertetett lépések a témakörökre mutatnak. Hasonló lépésekkel elutasíthatja a tartományok privát végpontjait.

1. Jelölje ki az elutasítani kívánt privát végpontot , és válassza az Eszköztár Elutasítás elemét.

   

2. A Kapcsolat elvetése párbeszédpanelen írjon be egy megjegyzést (nem kötelező), és válassza az Igen lehetőséget.

   

3. Győződjön meg arról, hogy a végpont állapota Elutasítva.

   

   Megjegyzés

   Az elutasítás után nem hagyhat jóvá privát végpontot a Azure Portal.

Az Azure parancssori felület használatával

Privát végpont létrehozásához használja az az network private-endpoint create metódust az alábbi példában látható módon:

az network private-endpoint create \
    --resource-group <RESOURECE GROUP NAME> \
    --name <PRIVATE ENDPOINT NAME> \
    --vnet-name <VIRTUAL NETWORK NAME> \
    --subnet <SUBNET NAME> \
    --private-connection-resource-id "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventGrid/topics/<TOPIC NAME>" \
    --connection-name <PRIVATE LINK SERVICE CONNECTION NAME> \
    --location <LOCATION> \
    --group-ids topic

A példában használt paraméterek leírását az az network private-endpoint create dokumentációjában találja. Ebben a példában néhány megjegyzés:

• A mezőben private-connection-resource-idadja meg a témakör vagy tartomány erőforrás-azonosítóját. Az előző példa a következő típust használja: témakör.
• for group-ids, specify topic vagy domain. Az előző példában topic a rendszer ezt használja.

Privát végpont törléséhez használja az az network private-endpoint delete metódust az alábbi példában látható módon:

az network private-endpoint delete --resource-group <RESOURECE GROUP NAME> --name <PRIVATE ENDPOINT NAME>

Megjegyzés

Az ebben a szakaszban ismertetett lépések a témakörökre mutatnak. Hasonló lépésekkel privát végpontokat hozhat létre a tartományokhoz.

Előfeltételek

Frissítse a parancssori felület Azure Event Grid bővítményét a következő parancs futtatásával:

az extension update -n eventgrid

Ha a bővítmény nincs telepítve, futtassa a következő parancsot a telepítéshez:

az extension add -n eventgrid

Privát végpont létrehozása

Privát végpont létrehozásához használja az az network private-endpoint create metódust az alábbi példában látható módon:

az network private-endpoint create \
    --resource-group <RESOURECE GROUP NAME> \
    --name <PRIVATE ENDPOINT NAME> \
    --vnet-name <VIRTUAL NETWORK NAME> \
    --subnet <SUBNET NAME> \
    --private-connection-resource-id "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventGrid/topics/<TOPIC NAME>" \
    --connection-name <PRIVATE LINK SERVICE CONNECTION NAME> \
    --location <LOCATION> \
    --group-ids topic

A példában használt paraméterek leírását az az network private-endpoint create dokumentációjában találja. Ebben a példában néhány megjegyzés:

• A mezőben private-connection-resource-idadja meg a témakör vagy tartomány erőforrás-azonosítóját. Az előző példa a következő típust használja: témakör.
• for group-ids, specify topic vagy domain. Az előző példában topic a rendszer ezt használja.

Privát végpont törléséhez használja az az network private-endpoint delete metódust az alábbi példában látható módon:

az network private-endpoint delete --resource-group <RESOURECE GROUP NAME> --name <PRIVATE ENDPOINT NAME>

Megjegyzés

Az ebben a szakaszban ismertetett lépések a témakörökre mutatnak. Hasonló lépésekkel privát végpontokat hozhat létre a tartományokhoz.

Példaszkript

Íme egy példaszkript, amely a következő Azure-erőforrásokat hozza létre:

• Erőforráscsoport
• Virtuális hálózat
• Alhálózat a virtuális hálózaton
• Azure Event Grid témakör
• Privát végpont a témakörhöz

Megjegyzés

Az ebben a szakaszban ismertetett lépések a témakörökre mutatnak. Hasonló lépésekkel privát végpontokat hozhat létre a tartományokhoz.

subscriptionID="<AZURE SUBSCRIPTION ID>"
resourceGroupName="<RESOURCE GROUP NAME>"
location="<LOCATION>"
vNetName="<VIRTUAL NETWORK NAME>"
subNetName="<SUBNET NAME>"
topicName = "<TOPIC NAME>"
connectionName="<ENDPOINT CONNECTION NAME>"
endpointName=<ENDPOINT NAME>

# resource ID of the topic. replace <SUBSCRIPTION ID>, <RESOURCE GROUP NAME>, and <TOPIC NAME> 
# topicResourceID="/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventGrid/topics/<TOPIC NAME>"

# select subscription
az account set --subscription $subscriptionID

# create resource group
az group create --name $resourceGroupName --location $location

# create vnet 
az network vnet create \
    --resource-group $resourceGroupName \
    --name $vNetName \
    --address-prefix 10.0.0.0/16

# create subnet
az network vnet subnet create \
    --resource-group $resourceGroupName \
    --vnet-name $vNetName \
    --name $subNetName \
    --address-prefixes 10.0.0.0/24

# disable private endpoint network policies for the subnet
az network vnet subnet update \
    --resource-group $resourceGroupName \
    --vnet-name $vNetName \
    --name $subNetName \
    --disable-private-endpoint-network-policies true

# create event grid topic. update <LOCATION>
az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location

# verify that the topic was created.
az eventgrid topic show \
    --resource-group $resourceGroupName \
    --name $topicName

# create private endpoint for the topic you created
az network private-endpoint create \
    --resource-group $resourceGroupName \
    --name $endpointName \
    --vnet-name $vNetName \
    --subnet $subNetName \
    --private-connection-resource-id $topicResourceID \
    --connection-name $connectionName \
    --location $location \
    --group-ids topic

# get topic 
az eventgrid topic show \
    --resource-group $resourceGroupName \
    --name $topicName

Privát végpont jóváhagyása

Az alábbi cli-mintarészlet bemutatja, hogyan hagyhat jóvá privát végpontkapcsolatot.

az eventgrid topic private-endpoint-connection approve \
    --resource-group $resourceGroupName \
    --topic-name $topicName \
    --name  $endpointName \
    --description "connection approved"

Privát végpont elutasítása

Az alábbi cli-mintarészlet bemutatja, hogyan utasíthat el privát végpontkapcsolatot.

az eventgrid topic private-endpoint-connection reject \
    --resource-group $resourceGroupName \
    --topic-name $topicName \
    --name $endpointName \
    --description "Connection rejected"

Nyilvános hálózati hozzáférés letiltása

Alapértelmezés szerint a nyilvános hálózati hozzáférés engedélyezve van egy Event Grid-témakörhöz vagy tartományhoz. Ha csak privát végpontokon keresztül szeretné engedélyezni a hozzáférést, tiltsa le a nyilvános hálózati hozzáférést az alábbi parancs futtatásával:

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access disabled

A PowerShell használata

Ez a szakasz bemutatja, hogyan hozhat létre privát végpontot egy témakörhöz vagy tartományhoz a PowerShell használatával. Íme egy megjegyzéseket tartalmazó példaszkript.

# name of an Azure resource group to be created
$resourceGroupName = "contosorg"

# location where you want the resources to be created
$location ="eastus"

# name of the VNet to be created
$vnetName = "contosovnet"

# name of the subnet to be created in the VNet
$subnetName = "example-privatelinksubnet"

# name of the Event Grid topic to be created
$egridTopicName = "contosotopic"

# name of the private link service connection to be created
$privateLinkServiceConnectionName = "spegridplsconn"

# name of the private endpoint connection to be created
$privateEndpointConnectionName = "spegridpe11"

#

# create resource group
New-AzResourceGroup -Name $resourceGroupName -Location $location

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $resourceGroupName `
                    -Location $location `
                    -Name $vnetName  `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# get virtual network (optional)
$virtualNetwork = Get-AzVirtualNetwork `
                    -ResourceGroupName $resourceGroupName `
                    -Name $vnetName 

# create an Event Grid topic with public network access disabled. 
$topic = New-AzEventGridTopic -ResourceGroupName $resourceGroupName -Name $egridTopicName -Location $location -PublicNetworkAccess disabled

# create a private link service connection to the Event Grid topic. 
# For topics, set GroupId to 'topic'. For domains, it's 'domain'
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name "privateLinkServiceConnectionName" `
                                -PrivateLinkServiceId $topic.id `
                                -GroupId "topic"

# get subnet info
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                             | Where-Object  {$_.Name -eq $subnetName }  

# now, you are ready to create a private endpoint 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $resourceGroupName  `
                                        -Name privateEndpointConnectionName   `
                                        -Location $location `
                                        -Subnet  $subnet   `
                                        -PrivateLinkServiceConnection $privateEndpointConnection

# verify that the endpoint is created
Get-AzPrivateEndpoint -ResourceGroupName $resourceGroupName  -Name privateEndpointConnectionName  

Privát végpontkapcsolat jóváhagyása

Az alábbi PowerShell-mintarészlet bemutatja, hogyan hagyhatja jóvá a privát végpontokat.

Megjegyzés

Az ebben a szakaszban ismertetett lépések a témakörökre mutatnak. Hasonló lépésekkel jóváhagyhatja a tartományok privát végpontjait.

# list all private endpoints for the topic
$topic = Get-AzEventGridTopic -ResourceGroup <RESOURCE GROUP NAME> - Name <TOPIC NAME>
$endpointList = Get-AzPrivateEndpointConnection -PrivateLinkResourceId $topic.Id

# filter the private endpoints using a name
 $pseEndpoint = $endpointList | Where-Object {     $_.Name.StartsWith('<MYENDPOINTNAME>') }

# approve the endpoint connection
Approve-AzPrivateEndpointConnection -ResourceId $pseEndpoint.Id

# get the endpoint connection to verify that it's approved
Get-AzPrivateEndpointConnection -ResourceId $pseEndpoint.Id

Privát végpontkapcsolat elutasítása

Az alábbi példa bemutatja, hogyan utasíthat el privát végpontokat a PowerShell használatával. A privát végpont GUID-azonosítóját az előző GET parancs eredményéből szerezheti be.

Megjegyzés

Az ebben a szakaszban ismertetett lépések a témakörökre mutatnak. Hasonló lépésekkel elutasíthatja a tartományok privát végpontjait.

# list all private endpoints for the topic
$topic = Get-AzEventGridTopic -ResourceGroup <RESOURCE GROUP NAME> - Name <TOPIC NAME>
$endpointList = Get-AzPrivateEndpointConnection -PrivateLinkResourceId $topic.Id


# filter the private endpoints using a name
 $pseEndpoint = $endpointList | Where-Object {     $_.Name.StartsWith('<MYENDPOINT>') }

# deny or reject the private endpoint connection
Deny-AzPrivateEndpointConnection -ResourceId $pseEndpoint.Id

# get the endpoint connection to verify that it's rejected
Get-AzPrivateEndpointConnection -ResourceId $pseEndpoint.Id

A kapcsolatot az API-val való elutasítás után is jóváhagyhatja. Ha Azure Portal használ, nem hagyhat jóvá elutasított végpontot.

Következő lépések

• Az IP-tűzfal beállításainak konfigurálásáról további információt az IP-tűzfal konfigurálása Azure Event Grid témakörökhöz vagy tartományokhoz című témakörben talál.
• A hálózati csatlakozási problémák elhárításához lásd: Hálózati csatlakozási problémák elhárítása