Hozzáférés engedélyezése Azure Event Hubs névterekhez privát végpontokon keresztül

  • Cikk

Azure Private Link szolgáltatás lehetővé teszi az Azure-szolgáltatások (például Azure Event Hubs, Azure Storage és Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat privát végpontja felett.

A privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure Private Link által működtetett szolgáltatáshoz. A privát végpont egy privát IP-címet használ a virtuális hálózatról, amely hatékonyan hozza a szolgáltatást a virtuális hálózatba. A szolgáltatásba irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra vagy nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletesség érhető el.

További információ: Mi az a Azure Private Link?

Fontos tudnivalók

  • Ez a funkció az alapszinten nem támogatott.
  • A privát végpontok engedélyezése megakadályozhatja, hogy más Azure-szolgáltatások kommunikálhassanak az Event Hubs szolgáltatással. A letiltott kérések közé tartoznak a többi Azure-szolgáltatásból, a Azure Portal, a naplózási és metrikák szolgáltatásaiból stb. származó kérések. Kivételként engedélyezheti az Event Hubs-erőforrások elérését bizonyos megbízható szolgáltatásokból , még akkor is, ha a privát végpontok engedélyezve vannak. A megbízható szolgáltatások listáját lásd: Megbízható szolgáltatások.
  • Adjon meg legalább egy IP-szabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat. Ha nincsenek IP- és virtuális hálózati szabályok, a névtér elérhető a nyilvános interneten keresztül (a hozzáférési kulccsal).

Privát végpont hozzáadása Azure Portal

Előfeltételek

Az Event Hubs-névtér Azure Private Link való integrálásához a következő entitásokra vagy engedélyekre van szükség:

  • Event Hubs-névtér.
  • Egy Azure-beli virtuális hálózat.
  • Egy alhálózat a virtuális hálózaton. Használhatja az alapértelmezett alhálózatot.
  • Tulajdonosi vagy közreműködői engedélyek mind a névtérhez, mind a virtuális hálózathoz.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor a portál használatával kiválaszt egy régiót a privát végponthoz, az automatikusan csak az adott régióban lévő virtuális hálózatokat szűri. A névtér egy másik régióban is lehet.

A privát végpont egy privát IP-címet használ a virtuális hálózaton.

Privát hozzáférés konfigurálása névtér létrehozásakor

Névtér létrehozásakor engedélyezheti a névtérhez csak nyilvános (minden hálózatból származó) vagy csak privát (csak privát végpontokon keresztüli) hozzáférést.

Ha a névtérlétrehozási varázsló Hálózat lapján a Privát hozzáférés lehetőséget választja, a + Privát végpont gomb kiválasztásával hozzáadhat egy privát végpontot a lapon. A privát végpont hozzáadásának részletes lépéseit a következő szakaszban találja.

Képernyőkép a Névtér létrehozása varázsló Hálózatkezelés lapjáról, amelyen a Privát hozzáférés lehetőség van kiválasztva.

Privát hozzáférés konfigurálása meglévő névtérhez

Ha már rendelkezik Event Hubs-névtérrel, az alábbi lépésekkel hozhat létre privát kapcsolatkapcsolatot:

  1. Jelentkezzen be az Azure Portalra.

  2. A keresősávba írja be az eseményközpontokat.

  3. Válassza ki azt a névteret a listából, amelyhez privát végpontot szeretne hozzáadni.

  4. A Hálózat lapon a Nyilvános hálózati hozzáférés beállításnál válassza a Letiltva lehetőséget, ha azt szeretné, hogy a névtér csak privát végpontokon keresztül legyen elérhető.

  5. Ha engedélyezni szeretné, hogy a megbízható Microsoft-szolgáltatások megkerüljék ezt a tűzfalat, válassza az Igen lehetőséget, ha engedélyezni szeretné, hogy a megbízható Microsoft-szolgáltatások megkerüljék ezt a tűzfalat.

    Képernyőkép a Hálózatkezelés lapról, amelyen a nyilvános hálózati hozzáférés le van tiltva.

  6. Váltson a Privát végpont kapcsolatai lapra .

  7. Válassza a + Privát végpont gombot az oldal tetején.

    Hálózatkezelési lap – Privát végpontkapcsolatok lap – Privát végpont hivatkozásának hozzáadása.

  8. Az Alapok lapon kövesse az alábbi lépéseket:

    1. Válassza ki azt az Azure-előfizetést , amelyben létre szeretné hozni a privát végpontot.

    2. Válassza ki a privát végpont erőforráscsoportját .

    3. Adja meg a privát végpont nevét .

    4. Adja meg a hálózati adapter nevét.

    5. Válasszon egy régiót a privát végponthoz. A privát végpontnak ugyanabban a régióban kell lennie, mint a virtuális hálózatnak, de más régióban lehet, mint a privát kapcsolati erőforrás, amelyhez csatlakozik.

    6. Válassza a Tovább: Erőforrás > gombot a lap alján.

      Képernyőkép a Privát végpont létrehozása varázsló Alapszintű lapjáról.

  9. Az Erőforrás lapon tekintse át a beállításokat, és válassza a Tovább: Virtual Network lehetőséget.

    Képernyőkép a Privát végpont létrehozása varázsló Erőforrás lapjáról.

  10. A Virtual Network lapon kiválaszthatja azt az alhálózatot egy virtuális hálózatban, ahová a privát végpontot telepíteni szeretné.

    1. Válasszon ki egy virtuális hálózatot. A legördülő listában csak az aktuálisan kiválasztott előfizetésben és helyen található virtuális hálózatok szerepelnek.

    2. Válasszon ki egy alhálózatot a kiválasztott virtuális hálózatban.

    3. Figyelje meg, hogy a privát végpontok hálózati szabályzata le van tiltva. Ha engedélyezni szeretné, válassza a Szerkesztés lehetőséget, frissítse a beállítást, és válassza a Mentés lehetőséget.

    4. Privát IP-konfiguráció esetén alapértelmezés szerint a Dinamikusan lefoglalható IP-cím beállítás van kiválasztva. Ha statikus IP-címet szeretne hozzárendelni, válassza a Statikusan lefoglalható IP-cím* lehetőséget.

    5. Alkalmazásbiztonsági csoport esetén válasszon ki egy meglévő alkalmazásbiztonsági csoportot, vagy hozzon létre egy, a privát végponthoz társítandó csoportot.

    6. Válassza a Tovább: DNS > gombot a lap alján.

      Képernyőkép a Privát végpont létrehozása varázsló Virtual Network oldaláról.

  11. A DNS lapon válassza ki, hogy szeretné-e a privát végpontot integrálni egy privát DNS-zónával, majd válassza a Tovább: Címkék lehetőséget.

  12. A Címkék lapon hozza létre a privát végpont erőforrásához társítani kívánt címkéket (neveket és értékeket). Ezután válassza a Véleményezés + létrehozás gombot az oldal alján.

  13. A Felülvizsgálat + létrehozás lapon tekintse át az összes beállítást, majd válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

    Privát végpont létrehozása – Lap áttekintése és létrehozása

  14. Győződjön meg arról, hogy a létrehozott privát végpontkapcsolat megjelenik a végpontok listájában. Ebben a példában a privát végpont automatikusan jóváhagyva van, mert a címtárban lévő Azure-erőforráshoz csatlakozott, és rendelkezik a megfelelő engedélyekkel.

    Privát végpont létrehozva

Megbízható Microsoft-szolgáltatások

Ha engedélyezi, hogy a megbízható Microsoft-szolgáltatások megkerüljék ezt a tűzfalbeállítást , az ugyanazon bérlőn belüli alábbi szolgáltatások kapnak hozzáférést az Event Hubs-erőforrásokhoz.

Megbízható szolgáltatás Támogatott használati forgatókönyvek
Azure Event Grid Lehetővé teszi, hogy Azure Event Grid eseményeket küldjön az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:
  • Rendszer által hozzárendelt identitás engedélyezése egy témakörhöz vagy tartományhoz
  • Adja hozzá az identitást a Azure Event Hubs Adatküldő szerepkörhöz az Event Hubs-névtéren
  • Ezután konfigurálja azt az esemény-előfizetést, amely végpontként egy eseményközpontot használ a rendszer által hozzárendelt identitás használatához.

További információ: Eseménykézbesítés felügyelt identitással
Azure Stream Analytics Lehetővé teszi egy Azure Stream Analytics-feladat számára, hogy adatokat olvasson be (bemenetből) vagy adatokat írjon az Event Hubs-névtérben lévő eseményközpontokba.

Fontos: A Stream Analytics-feladatot úgy kell konfigurálni, hogy felügyelt identitást használjon az eseményközpont eléréséhez. További információ: Felügyelt identitások használata az eseményközpont eléréséhez egy Azure Stream Analytics-feladatból (előzetes verzió).

Azure IoT Hub Lehetővé teszi, hogy IoT Hub üzeneteket küldjön az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:
  • Rendszer által hozzárendelt identitás engedélyezése az IoT Hubhoz
  • Adja hozzá az identitást a Azure Event Hubs Adatküldő szerepkörhöz az Event Hubs-névtérben.
  • Ezután konfigurálja azt a IoT Hub, amely egy eseményközpontot használ egyéni végpontként az identitásalapú hitelesítés használatához.
Azure API Management

A API Management szolgáltatás lehetővé teszi események küldését egy eseményközpontba az Event Hubs-névtérben.
Azure Monitor (Diagnosztikai beállítások és műveletcsoportok) Lehetővé teszi, hogy az Azure Monitor diagnosztikai adatokat és riasztási értesítéseket küldjön az Event Hubs-névtér eseményközpontjainak. Az Azure Monitor képes olvasni az eseményközpontból, és adatokat is írhat az eseményközpontba.
Azure Synapse Lehetővé teszi, hogy Azure Synapse csatlakozzon az eseményközponthoz a Synapse-munkaterület felügyelt identitásával. Adja hozzá az Azure Event Hubs adatküldő, fogadó vagy tulajdonos szerepkört az Event Hubs-névtér identitásához.
Azure Adatkezelő Lehetővé teszi az Azure Data Explorer számára, hogy eseményeket fogadjon az eseményközpontból a fürt felügyelt identitásával. A következő lépéseket kell elvégeznie: 
Azure IoT Central

Lehetővé teszi, hogy az IoT Central adatokat exportáljon az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:

  • Engedélyezze a rendszer által hozzárendelt identitást az IoT Central-alkalmazáshoz.
  • Adja hozzá az identitást a Azure Event Hubs Adatküldő szerepkörhöz az Event Hubs-névtérben.
  • Ezután konfigurálja az Event Hubs exportálási célhelyét az IoT Central-alkalmazásban identitásalapú hitelesítés használatára.
Azure Health Data Services Lehetővé teszi az Egészségügyi API-k IoT-összekötőjének, hogy az orvosi eszköz adatait betöltse az Event Hubs-névtérből, és megőrizze az adatokat a konfigurált Fast Healthcare Interoperability Resources (FHIR®) szolgáltatásban. Az IoT-összekötőt úgy kell konfigurálni, hogy felügyelt identitást használjon az eseményközpont eléréséhez. További információ: Ismerkedés az IoT-összekötővel – Azure Healthcare API-k.
Azure Digital Twins Lehetővé teszi, hogy az Azure Digital Twins adatokat adjon ki az Event Hubs-névtér eseményközpontjaiba. A következő lépéseket is el kell végeznie:

  • Engedélyezze a rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz.
  • Adja hozzá az identitást a Azure Event Hubs Adatküldő szerepkörhöz az Event Hubs-névtérben.
  • Ezután konfiguráljon egy Azure Digital Twins-végpontot vagy egy Azure Digital Twins-adatelőzmény-kapcsolatot, amely a rendszer által hozzárendelt identitást használja a hitelesítéshez. A végpontok és eseményútvonalak Azure Digital Twinsből származó Event Hubs-erőforrásokhoz való konfigurálásáról további információt az Azure Digital Twins-események átirányítása és végpontok létrehozása az Azure Digital Twinsben című témakörben talál.

A Azure Event Hubs egyéb megbízható szolgáltatásai az alábbiakban találhatók:

  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview

Ha engedélyezni szeretné, hogy a megbízható szolgáltatások hozzáférjenek a névtérhez, váltson a Hálózat lapNyilvános hozzáférés lapjára, és válassza az Igen lehetőséget a Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez?.

Privát végpont hozzáadása a PowerShell használatával

Az alábbi példa bemutatja, hogyan hozhat létre privát végpontkapcsolatot Azure PowerShell. Nem hoz létre dedikált fürtöt. A jelen cikkben ismertetett lépéseket követve hozzon létre egy dedikált Event Hubs-fürtöt.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

A privát DNS-zóna konfigurálása

Hozzon létre egy privát DNS-zónát az Event Hubs-tartományhoz, és hozzon létre egy társítási kapcsolatot a virtuális hálózattal:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Privát végpontok kezelése a Azure Portal használatával

Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik a megfelelő engedélyekkel. Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, hogy az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.

Négy kiépítési állapot létezik:

Szolgáltatásművelet Szolgáltatásfelhasználó privát végpontjának állapota Leírás
Nincs Függőben A kapcsolat manuálisan jön létre, és a Private Link erőforrás-tulajdonos jóváhagyására vár.
Jóváhagyás Approved A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
Elutasítás Elutasítva A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot.
Eltávolítás Leválasztott A privát kapcsolat erőforrás-tulajdonosa eltávolította a kapcsolatot, a privát végpont tájékoztató jellegűvé válik, és törölni kell a törléshez.

Privát végpontkapcsolat jóváhagyása, elutasítása vagy eltávolítása

  1. Jelentkezzen be az Azure Portalra.
  2. A keresősávba írja be az eseményközpontokat.
  3. Válassza ki a kezelni kívánt névteret .
  4. Válassza a Hálózatkezelés lapot.
  5. Lépjen a megfelelő szakaszra a kívánt művelet alapján: jóváhagyás, elutasítás vagy eltávolítás.

Privát végpontkapcsolat jóváhagyása

  1. Ha vannak függőben lévő kapcsolatok, a Függőben állapotú kapcsolat jelenik meg a kiépítési állapotban.

  2. Válassza ki a jóváhagyni kívánt privát végpontot

  3. Válassza a Jóváhagyás gombot.

    Privát végpont jóváhagyása

  4. A Kapcsolat jóváhagyása lapon adjon hozzá egy megjegyzést (nem kötelező), és válassza az Igen lehetőséget. Ha a Nem lehetőséget választja, semmi sem történik.

  5. A magánvégpont-kapcsolat állapotát a listában Jóváhagyott állapotúra kell módosítani.

Privát végpontkapcsolat elutasítása

  1. Ha vannak olyan privát végpontkapcsolatok, amelyeket el szeretne utasítani, legyen az függőben lévő vagy meglévő kapcsolat, válassza a kapcsolatot, és válassza az Elutasítás gombot.

    Privát végpont elutasítása

  2. A Kapcsolat elvetése lapon írjon be egy megjegyzést (nem kötelező), és válassza az Igen lehetőséget. Ha a Nem lehetőséget választja, semmi sem történik.

  3. A magánvégpont-kapcsolat állapotát a listában Elutasítva értékre kell módosítani.

Privát végpontkapcsolat eltávolítása

  1. Privát végpontkapcsolat eltávolításához jelölje ki a listában, majd válassza az Eltávolítás lehetőséget az eszköztáron.
  2. A Kapcsolat törlése lapon válassza az Igen lehetőséget a privát végpont törlésének megerősítéséhez. Ha a Nem lehetőséget választja, semmi sem történik.
  3. Látnia kell, hogy az állapot Leválasztva állapotra módosult. Ezután a végpont eltűnik a listából.

Ellenőriznie kell, hogy a privát végpont virtuális hálózatában lévő erőforrások privát IP-címen keresztül csatlakoznak-e az Event Hubs-névtérhez, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.

Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása a Azure Portal

A Hálózat lapon :

  1. Adja meg a virtuális hálózatot és az alhálózatot. Ki kell választania azt a Virtual Network, amelyen üzembe helyezte a privát végpontot.
  2. Adjon meg egy nyilvános IP-erőforrást .
  3. Hálózati adapter hálózati biztonsági csoportjában válassza a Nincs lehetőséget.
  4. A terheléselosztáshoz válassza a Nem lehetőséget.

Csatlakozzon a virtuális géphez, nyissa meg a parancssort, és futtassa a következő parancsot:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Az alábbihoz hasonló eredményt kell látnia.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Korlátozások és kialakítási szempontok

  • A díjszabással kapcsolatos információkért lásd: Azure Private Link díjszabás.
  • Ez a funkció minden nyilvános Azure-régióban elérhető.
  • Privát végpontok maximális száma Event Hubs-névtérenként: 120.
  • A forgalom az alkalmazásrétegben van blokkolva, nem a TCP-rétegben. Ezért azt látja, hogy a TCP-kapcsolatok vagy nslookup -műveletek sikeresek a nyilvános végponton annak ellenére, hogy a nyilvános hozzáférés le van tiltva.

További információ: Azure Private Link szolgáltatás: Korlátozások

Következő lépések