Azure Service Bus-névterekhez való hozzáférés engedélyezése privát végpontokon keresztül
Az Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Service Bus, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül.
A privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure Private Link használatával működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatás felé irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra, illetve nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.
További információ: Mi az Azure Private Link?
Fontos tudnivalók
Ez a funkció az Azure Service Bus prémium szintű verziójával támogatott. A prémium szinttel kapcsolatos további információkért tekintse meg a Service Bus Premium és a Standard üzenetkezelési szintekről szóló cikket.
A privát végpontok létesítése megakadályozhatja, hogy más Azure-szolgáltatások kommunikálni tudjanak a Service Busszal. Kivételként engedélyezheti a Service Bus-erőforrások elérését bizonyos megbízható szolgáltatásokból , még akkor is, ha a privát végpontok engedélyezve vannak. A megbízható szolgáltatások listáját a Megbízható szolgáltatások című témakörben találja.
A következő Microsoft-szolgáltatások kell lennie egy virtuális hálózaton
- Azure App Service
- Azure Functions
Adjon meg legalább egy IP-szabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat. Ha nincsenek IP- és virtuális hálózati szabályok, a névtér a nyilvános interneten keresztül (a hozzáférési kulcs használatával) érhető el.
Privát végpont hozzáadása az Azure Portal használatával
Előfeltételek
A Service Bus-névtér Azure Private Linkkel való integrálásához a következő entitásokra vagy engedélyekre van szüksége:
- Egy Service Bus-névtér.
- Egy Azure-beli virtuális hálózat.
- A virtuális hálózat alhálózata. Használhatja az alapértelmezett alhálózatot.
- Tulajdonosi vagy közreműködői engedélyek mind a Service Bus-névtérhez, mind a virtuális hálózathoz.
A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor kiválaszt egy régiót a privát végponthoz a portál használatával, az automatikusan csak az adott régióban lévő virtuális hálózatokat szűri. A Service Bus-névtér lehet másik régióban is. A privát végpont pedig egy privát IP-címet használ a virtuális hálózaton.
Privát hozzáférés konfigurálása névtér létrehozásakor
Névtér létrehozásakor engedélyezheti a névtérhez csak nyilvános (minden hálózatból származó) vagy csak privát (csak privát végpontokon keresztüli) hozzáférést.
Ha a névtérlétrehozási varázsló Hálózatkezelés lapján a Privát hozzáférés lehetőséget választja, a + Privát végpont gombot választva hozzáadhat egy privát végpontot a lapon. A privát végpont hozzáadásának részletes lépéseit a következő szakaszban találja.
Privát hozzáférés konfigurálása meglévő névtérhez
Ha már rendelkezik meglévő névtérrel, az alábbi lépések végrehajtásával hozhat létre privát végpontot:
Jelentkezzen be az Azure Portalra.
A keresősávba írja be a Service Bus kifejezést.
Válassza ki azt a névteret a listából, amelyhez magánvégpontot szeretne hozzáadni.
A bal oldali menüben válassza a Beállítások területen a Hálózatkezelés lehetőséget.
Feljegyzés
A Hálózatkezelés lap csak a prémium szintű névterek esetében jelenik meg.
A Hálózatkezelés lapon a Nyilvános hálózati hozzáférés beállításnál válassza a Letiltva lehetőséget, ha azt szeretné, hogy a névtér csak privát végpontokon keresztül legyen elérhető.
Ha engedélyezni szeretné, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalat, válassza az Igen lehetőséget, ha engedélyezni szeretné a megbízható Microsoft-szolgáltatások a tűzfal megkerülését.
Ha privát végpontokon keresztül szeretné engedélyezni a névtérhez való hozzáférést, válassza a Privát végpont kapcsolatai lapfület a lap tetején
Válassza a + Privát végpont gombot az oldal tetején.
Az Alapok lapon kövesse az alábbi lépéseket:
Válassza ki azt az Azure-előfizetést , amelyben létre szeretné hozni a privát végpontot.
Válassza ki a privát végpont erőforrásának erőforráscsoportját .
Adja meg a privát végpont nevét.
Adja meg a hálózati adapter nevét.
Válasszon egy régiót a privát végponthoz. A privát végpontnak ugyanabban a régióban kell lennie, mint a virtuális hálózata, de más régióban lehet, mint a magánhálózati erőforrás, amelyhez csatlakozik.
Válassza a Tovább: Erőforrás > gombot a lap alján.
Az Erőforrás lapon tekintse át a beállításokat, és válassza a Tovább: Virtuális hálózat lehetőséget a lap alján.
A Virtuális hálózat lapon kiválaszthatja a virtuális hálózat alhálózatát arra a helyre, ahová a privát végpontot telepíteni szeretné.
- Válasszon ki egy virtuális hálózatot. A legördülő listában csak az aktuálisan kiválasztott előfizetésben és helyen lévő virtuális hálózatok jelennek meg.
- Jelöljön ki egy alhálózatot a kiválasztott virtuális hálózatban.
- Figyelje meg, hogy a privát végpontok hálózati házirendje le van tiltva. Ha engedélyezni szeretné, válassza a Szerkesztés lehetőséget, frissítse a beállítást, és válassza a Mentés lehetőséget.
- Privát IP-konfiguráció esetén alapértelmezés szerint a dinamikusan lefoglalt IP-cím beállítás van kiválasztva. Ha statikus IP-címet szeretne hozzárendelni, válassza az IP-cím statikus lefoglalása* lehetőséget.
- Alkalmazásbiztonsági csoport esetén válasszon ki egy meglévő alkalmazásbiztonsági csoportot, vagy hozzon létre egy, a privát végponthoz társítandó csoportot.
- Válassza a Tovább: DNS > gombot az oldal alján.
A DNS-lapon válassza ki, hogy a privát végpont integrálva legyen-e egy privát DNS-zónával, majd válassza a Tovább: Címkék lehetőséget.
A Címkék lapon hozza létre a magánvégpont-erőforráshoz társítani kívánt címkéket (neveket és értékeket). Ezután válassza a Véleményezés + létrehozás gombot a lap alján.
A Felülvizsgálat + létrehozás lapon tekintse át az összes beállítást, és válassza a Létrehozás lehetőséget a privát végpont létrehozásához.
Ellenőrizze, hogy létrejött-e a privát végpont. Ha Ön az erőforrás tulajdonosa, és a Kapcsolat metódushoz a címtáramban az Azure-erőforráshoz való csatlakozás lehetőséget választotta, a végpontkapcsolatot automatikusan jóvá kell hagyni. Ha függőben lévő állapotban van, tekintse meg a Privát végpontok kezelése az Azure Portal használatával című szakaszt.
Megbízható Microsoft-szolgáltatások
Ha engedélyezi, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalbeállítást, a következő szolgáltatások kapnak hozzáférést a Service Bus-erőforrásokhoz.
Megbízható szolgáltatás | Támogatott használati forgatókönyvek |
---|---|
Azure Event Grid | Lehetővé teszi, hogy az Azure Event Grid eseményeket küldjön a Service Bus-névtér üzenetsoraiba vagy témaköreibe. A következő lépéseket is el kell végeznie:
További információ: Eseménykézbesítés felügyelt identitással |
Azure Stream Analytics | Lehetővé teszi, hogy egy Azure Stream Analytics-feladat adatokat kimeneteljen a Service Bus-üzenetsorok számára témakörökbe. Fontos: A Stream Analytics-feladatot úgy kell konfigurálni, hogy felügyelt identitást használjon a Service Bus-névtér eléréséhez. Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben. |
Azure IoT Hub | Lehetővé teszi, hogy az IoT Hub üzeneteket küldjön a Service Bus-névtér üzenetsoraiba vagy témaköreibe. A következő lépéseket is el kell végeznie:
|
Azure API Management | Az API Management szolgáltatással üzeneteket küldhet a Service Bus-üzenetsorba vagy -témakörbe a Service Bus-Namespace.
|
Azure IoT Central | Lehetővé teszi, hogy az IoT Central adatokat exportáljon Service Bus-üzenetsorba vagy a Service Bus-névtérben lévő témakörökbe. A következő lépéseket is el kell végeznie:
|
Azure Digital Twins | Lehetővé teszi az Azure Digital Twins számára, hogy adatokat adjon ki a Service Bus-témakörökbe a Service Bus-névtérben. A következő lépéseket is el kell végeznie:
|
Azure Monitor (Diagnosztikai beállítások és műveleti csoportok) | Lehetővé teszi, hogy az Azure Monitor diagnosztikai információkat és riasztási értesítéseket küldjön a Service Busnak a Service Bus-névtérben. Az Azure Monitor képes adatokat olvasni és írni a Service Bus-névtérbe. |
Azure Synapse | Lehetővé teszi, hogy az Azure Synapse a Synapse-munkaterület felügyelt identitásával csatlakozzon a service bushoz. Adja hozzá az Azure Service Bus adatküldő, fogadó vagy tulajdonos szerepkört a Service Bus-névtér identitásához. |
Az Azure Service Bus többi megbízható szolgáltatása az alábbiakban található:
- Azure Adatkezelő
- Azure Health Data Services
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
Ha engedélyezni szeretné, hogy a megbízható szolgáltatások hozzáférjenek a névtérhez, váltson a Hálózat lap Nyilvános hozzáférés lapjára, és válassza az Igen lehetőséget a megbízható Microsoft-szolgáltatások engedélyezéséhez a tűzfal megkerüléséhez?.
Privát végpont hozzáadása a PowerShell használatával
Az alábbi példa bemutatja, hogyan hozhat létre privát végpontkapcsolatot egy Service Bus-névtérhez az Azure PowerShell használatával.
A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. A Service Bus-névtér egy másik régióban is lehet. A privát végpont pedig egy privát IP-címet használ a virtuális hálózaton.
$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"
# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation
# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $vnetlocation `
-Name $vnetName `
-AddressPrefix 10.0.0.0/16
# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name $subnetName `
-AddressPrefix 10.0.0.0/24 `
-PrivateEndpointNetworkPoliciesFlag "Disabled" `
-VirtualNetwork $virtualNetwork
# update virtual network
$virtualNetwork | Set-AzVirtualNetwork
# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -
# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $peConnectionName `
-PrivateLinkServiceId $namespaceResource.ResourceId `
-GroupId "namespace"
# get subnet object that you will use in the next step
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
| Where-Object {$_.Name -eq $subnetName}
# now, create private endpoint
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName `
-Name $vnetName `
-Location $vnetlocation `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection
(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties
Privát végpontok kezelése az Azure Portal használatával
Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik megfelelő engedélyekkel. Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, amíg az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.
Négy kiépítési állapot létezik:
Szolgáltatásművelet | Szolgáltatásfelhasználó privát végpontjának állapota | Leírás |
---|---|---|
Egyik sem | Függőben | A kapcsolat manuálisan jön létre, és függőben van a Private Link-erőforrás tulajdonosának jóváhagyásáig. |
Jóváhagyás | Engedélyezve | A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra. |
Elutasítás | Elutasítva | A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot. |
Eltávolítás | Leválasztva | A kapcsolatot a privát kapcsolat erőforrás-tulajdonosa eltávolította, a privát végpont informatív lesz, és törölni kell a törléshez. |
Privát végpontkapcsolat jóváhagyása, elvetése vagy eltávolítása
- Jelentkezzen be az Azure Portalra.
- A keresősávba írja be a Service Bus kifejezést.
- Jelölje ki a kezelni kívánt névteret .
- Válassza a Hálózatkezelés lapot.
- A kívánt művelet alapján tekintse meg a megfelelő alábbi szakaszt: jóváhagyás, elutasítás vagy eltávolítás.
Privát végpontkapcsolat jóváhagyása
Ha vannak függőben lévő kapcsolatok, a kiépítési állapotban megjelenik a Függőben állapotú kapcsolat.
Válassza ki a jóváhagyni kívánt privát végpontot
Válassza a Jóváhagyás gombot.
A Kapcsolat jóváhagyása lapon adjon meg egy nem kötelező megjegyzést, és válassza az Igen lehetőséget. Ha a Nem lehetőséget választja, semmi sem történik.
A kapcsolat állapotát a listában jóváhagyottra kell módosítani.
Privát végpontkapcsolat elvetése
Ha van olyan privát végpontkapcsolat, amelyet el szeretne utasítani, függetlenül attól, hogy függőben lévő vagy korábban jóváhagyott kapcsolatról van-e szó, válassza ki a végpontkapcsolatot, és válassza az Elutasítás gombot.
A Kapcsolat elvetése lapon adjon meg egy nem kötelező megjegyzést, és válassza az Igen lehetőséget. Ha a Nem lehetőséget választja, semmi sem történik.
A kapcsolat állapotát az Elutasítva listában kell látnia.
Privát végpontkapcsolat eltávolítása
Privát végpontkapcsolat eltávolításához jelölje ki a listában, és válassza az Eltávolítás lehetőséget az eszköztáron.
A Kapcsolat törlése lapon válassza az Igen lehetőséget a privát végpont törlésének megerősítéséhez. Ha a Nem lehetőséget választja, semmi sem történik.
Látnia kell, hogy az állapot megszakadt állapotúra módosult. Ezután a végpont eltűnik a listából.
Ellenőrizze, hogy működik-e a privát kapcsolat
Ellenőriznie kell, hogy a privát végpont virtuális hálózatában lévő erőforrások egy privát IP-címen keresztül csatlakoznak-e a Service Bus-névtérhez, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.
Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása az Azure Portalon című cikk lépéseit követve
A Hálózatkezelés lapon:
- Adja meg a virtuális hálózatot és az alhálózatot. Ki kell választania azt a virtuális hálózatot, amelyen a privát végpontot üzembe helyezte.
- Adjon meg egy nyilvános IP-erőforrást.
- Hálózati hálózati biztonsági csoport esetén válassza a Nincs lehetőséget.
- Terheléselosztáshoz válassza a Nem lehetőséget.
Csatlakozzon a virtuális géphez, nyissa meg a parancssort, és futtassa a következő parancsot:
nslookup <service-bus-namespace-name>.servicebus.windows.net
Az alábbihoz hasonló eredményt kell látnia.
Non-authoritative answer:
Name: <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address: 10.0.0.4 (private IP address associated with the private endpoint)
Aliases: <service-bus-namespace-name>.servicebus.windows.net
Korlátozások és tervezési szempontok
- A díjszabással kapcsolatos információkért tekintse meg az Azure Private Link díjszabását.
- Ez a funkció minden nyilvános Azure-régióban elérhető.
- Privát végpontok maximális száma Service Bus-névtérenként: 120.
- A forgalom nem a TCP-rétegen, hanem az alkalmazásrétegen van blokkolva. Ezért azt látja, hogy a TCP-kapcsolatok vagy
nslookup
műveletek sikeresek a nyilvános végponton annak ellenére, hogy a nyilvános hozzáférés le van tiltva.
További információ: Azure Private Link szolgáltatás: Korlátozások