Megosztás a következőn keresztül:


Azure Service Bus-névterekhez való hozzáférés engedélyezése privát végpontokon keresztül

Az Azure Private Link Service lehetővé teszi az Azure-szolgáltatások (például az Azure Service Bus, az Azure Storage és az Azure Cosmos DB) és az Azure által üzemeltetett ügyfél-/partnerszolgáltatások elérését a virtuális hálózat egy privát végpontján keresztül.

A privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure Private Link használatával működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba. A szolgáltatás felé irányuló minden forgalom átirányítható a privát végponton keresztül, így nincs szükség átjárókra, NAT-eszközökre, ExpressRoute- vagy VPN-kapcsolatokra, illetve nyilvános IP-címekre. A virtuális hálózat és a szolgáltatás közötti forgalom a Microsoft gerinchálózatán keresztül halad át, így kiküszöböli a nyilvános internet jelentette kitettséget. Csatlakozhat egy Azure-erőforrás egy példányához, így a hozzáférés-vezérlésben a legmagasabb szintű részletességet érheti el.

További információ: Mi az Azure Private Link?

Fontos tudnivalók

  • Ez a funkció az Azure Service Bus prémium szintű verziójával támogatott. A prémium szinttel kapcsolatos további információkért tekintse meg a Service Bus Premium és a Standard üzenetkezelési szintekről szóló cikket.

  • A privát végpontok létesítése megakadályozhatja, hogy más Azure-szolgáltatások kommunikálni tudjanak a Service Busszal. Kivételként engedélyezheti a Service Bus-erőforrások elérését bizonyos megbízható szolgáltatásokból , még akkor is, ha a privát végpontok engedélyezve vannak. A megbízható szolgáltatások listáját a Megbízható szolgáltatások című témakörben találja.

    A következő Microsoft-szolgáltatások kell lennie egy virtuális hálózaton

    • Azure App Service
    • Azure Functions
  • Adjon meg legalább egy IP-szabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat. Ha nincsenek IP- és virtuális hálózati szabályok, a névtér a nyilvános interneten keresztül (a hozzáférési kulcs használatával) érhető el.

Privát végpont hozzáadása az Azure Portal használatával

Előfeltételek

A Service Bus-névtér Azure Private Linkkel való integrálásához a következő entitásokra vagy engedélyekre van szüksége:

  • Egy Service Bus-névtér.
  • Egy Azure-beli virtuális hálózat.
  • A virtuális hálózat alhálózata. Használhatja az alapértelmezett alhálózatot.
  • Tulajdonosi vagy közreműködői engedélyek mind a Service Bus-névtérhez, mind a virtuális hálózathoz.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. Amikor kiválaszt egy régiót a privát végponthoz a portál használatával, az automatikusan csak az adott régióban lévő virtuális hálózatokat szűri. A Service Bus-névtér lehet másik régióban is. A privát végpont pedig egy privát IP-címet használ a virtuális hálózaton.

Privát hozzáférés konfigurálása névtér létrehozásakor

Névtér létrehozásakor engedélyezheti a névtérhez csak nyilvános (minden hálózatból származó) vagy csak privát (csak privát végpontokon keresztüli) hozzáférést.

Ha a névtérlétrehozási varázsló Hálózatkezelés lapján a Privát hozzáférés lehetőséget választja, a + Privát végpont gombot választva hozzáadhat egy privát végpontot a lapon. A privát végpont hozzáadásának részletes lépéseit a következő szakaszban találja.

Képernyőkép a Névtér létrehozása varázsló Hálózatkezelés lapjáról, amelyen a Privát hozzáférés lehetőség van kiválasztva.

Privát hozzáférés konfigurálása meglévő névtérhez

Ha már rendelkezik meglévő névtérrel, az alábbi lépések végrehajtásával hozhat létre privát végpontot:

  1. Jelentkezzen be az Azure Portalra.

  2. A keresősávba írja be a Service Bus kifejezést.

  3. Válassza ki azt a névteret a listából, amelyhez magánvégpontot szeretne hozzáadni.

  4. A bal oldali menüben válassza a Beállítások területen a Hálózatkezelés lehetőséget.

    Feljegyzés

    A Hálózatkezelés lap csak a prémium szintű névterek esetében jelenik meg.

  5. A Hálózatkezelés lapon a Nyilvános hálózati hozzáférés beállításnál válassza a Letiltva lehetőséget, ha azt szeretné, hogy a névtér csak privát végpontokon keresztül legyen elérhető.

  6. Ha engedélyezni szeretné, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalat, válassza az Igen lehetőséget, ha engedélyezni szeretné a megbízható Microsoft-szolgáltatások a tűzfal megkerülését.

    Képernyőkép a Hálózatkezelés lapról, amelyen a nyilvános hálózati hozzáférés le van tiltva.

  7. Ha privát végpontokon keresztül szeretné engedélyezni a névtérhez való hozzáférést, válassza a Privát végpont kapcsolatai lapfület a lap tetején

  8. Válassza a + Privát végpont gombot az oldal tetején.

    Privát végpont hozzáadása gomb

  9. Az Alapok lapon kövesse az alábbi lépéseket:

    1. Válassza ki azt az Azure-előfizetést , amelyben létre szeretné hozni a privát végpontot.

    2. Válassza ki a privát végpont erőforrásának erőforráscsoportját .

    3. Adja meg a privát végpont nevét.

    4. Adja meg a hálózati adapter nevét.

    5. Válasszon egy régiót a privát végponthoz. A privát végpontnak ugyanabban a régióban kell lennie, mint a virtuális hálózata, de más régióban lehet, mint a magánhálózati erőforrás, amelyhez csatlakozik.

    6. Válassza a Tovább: Erőforrás > gombot a lap alján.

      Képernyőkép a Privát végpont létrehozása varázsló Alapszintű lapjáról.

  10. Az Erőforrás lapon tekintse át a beállításokat, és válassza a Tovább: Virtuális hálózat lehetőséget a lap alján.

    Képernyőkép a Privát végpont létrehozása varázsló Erőforrás lapjáról.

  11. A Virtuális hálózat lapon kiválaszthatja a virtuális hálózat alhálózatát arra a helyre, ahová a privát végpontot telepíteni szeretné.

    1. Válasszon ki egy virtuális hálózatot. A legördülő listában csak az aktuálisan kiválasztott előfizetésben és helyen lévő virtuális hálózatok jelennek meg.
    2. Jelöljön ki egy alhálózatot a kiválasztott virtuális hálózatban.
    3. Figyelje meg, hogy a privát végpontok hálózati házirendje le van tiltva. Ha engedélyezni szeretné, válassza a Szerkesztés lehetőséget, frissítse a beállítást, és válassza a Mentés lehetőséget.
    4. Privát IP-konfiguráció esetén alapértelmezés szerint a dinamikusan lefoglalt IP-cím beállítás van kiválasztva. Ha statikus IP-címet szeretne hozzárendelni, válassza az IP-cím statikus lefoglalása* lehetőséget.
    5. Alkalmazásbiztonsági csoport esetén válasszon ki egy meglévő alkalmazásbiztonsági csoportot, vagy hozzon létre egy, a privát végponthoz társítandó csoportot.
    6. Válassza a Tovább: DNS > gombot az oldal alján.

    Képernyőkép a Privát végpont létrehozása varázsló Virtuális hálózat lapjáról.

  12. A DNS-lapon válassza ki, hogy a privát végpont integrálva legyen-e egy privát DNS-zónával, majd válassza a Tovább: Címkék lehetőséget.

    Képernyőkép a Privát végpont létrehozása varázsló DNS-oldaláról.

  13. A Címkék lapon hozza létre a magánvégpont-erőforráshoz társítani kívánt címkéket (neveket és értékeket). Ezután válassza a Véleményezés + létrehozás gombot a lap alján.

  14. A Felülvizsgálat + létrehozás lapon tekintse át az összes beállítást, és válassza a Létrehozás lehetőséget a privát végpont létrehozásához.

    Képernyőkép a Privát végpont létrehozása varázsló Véleményezés és létrehozás lapjáról.

  15. Ellenőrizze, hogy létrejött-e a privát végpont. Ha Ön az erőforrás tulajdonosa, és a Kapcsolat metódushoz a címtáramban az Azure-erőforráshoz való csatlakozás lehetőséget választotta, a végpontkapcsolatot automatikusan jóvá kell hagyni. Ha függőben lévő állapotban van, tekintse meg a Privát végpontok kezelése az Azure Portal használatával című szakaszt.

    Privát végpont létrehozva

Megbízható Microsoft-szolgáltatások

Ha engedélyezi, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalbeállítást, a következő szolgáltatások kapnak hozzáférést a Service Bus-erőforrásokhoz.

Megbízható szolgáltatás Támogatott használati forgatókönyvek
Azure Event Grid Lehetővé teszi, hogy az Azure Event Grid eseményeket küldjön a Service Bus-névtér üzenetsoraiba vagy témaköreibe. A következő lépéseket is el kell végeznie:
  • Rendszer által hozzárendelt identitás engedélyezése témakörhöz vagy tartományhoz
  • Identitás hozzáadása az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben
  • Ezután konfigurálja a Service Bus-üzenetsort vagy -témakört végpontként használó esemény-előfizetést a rendszer által hozzárendelt identitás használatára.

További információ: Eseménykézbesítés felügyelt identitással

Azure Stream Analytics Lehetővé teszi, hogy egy Azure Stream Analytics-feladat adatokat kimeneteljen a Service Bus-üzenetsorok számára témakörökbe.

Fontos: A Stream Analytics-feladatot úgy kell konfigurálni, hogy felügyelt identitást használjon a Service Bus-névtér eléréséhez. Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben.

Azure IoT Hub Lehetővé teszi, hogy az IoT Hub üzeneteket küldjön a Service Bus-névtér üzenetsoraiba vagy témaköreibe. A következő lépéseket is el kell végeznie:
Azure API Management

Az API Management szolgáltatással üzeneteket küldhet a Service Bus-üzenetsorba vagy -témakörbe a Service Bus-Namespace.

  • Egyéni munkafolyamatokat úgy indíthat el, hogy üzeneteket küld a Service Bus-üzenetsorba vagy -témakörbe, amikor egy API-t a küldési kérési szabályzattal hív meg.
  • Egy Service Bus-üzenetsort/témakört háttérrendszerként is kezelhet egy API-ban. Mintaszabályzatot a Service Bus-üzenetsorok vagy -témakörök elérésére szolgáló felügyelt identitás használatával történő hitelesítés című témakörben talál. A következő lépéseket is el kell végeznie:
    1. Engedélyezze a rendszer által hozzárendelt identitást az API Management-példányon. Útmutatásért lásd : Felügyelt identitások használata az Azure API Managementben.
    2. Identitás hozzáadása az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben
Azure IoT Central

Lehetővé teszi, hogy az IoT Central adatokat exportáljon Service Bus-üzenetsorba vagy a Service Bus-névtérben lévő témakörökbe. A következő lépéseket is el kell végeznie:

  • Rendszer által hozzárendelt identitás engedélyezése az IoT Central-alkalmazáshoz
  • Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben.
  • Ezután konfigurálja a Service Bus-exportálási célhelyet az IoT Central-alkalmazásban identitásalapú hitelesítés használatára.
Azure Digital Twins Lehetővé teszi az Azure Digital Twins számára, hogy adatokat adjon ki a Service Bus-témakörökbe a Service Bus-névtérben. A következő lépéseket is el kell végeznie:

  • Engedélyezze a rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz.
  • Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben.
  • Ezután konfiguráljon egy Azure Digital Twins-végpontot vagy Azure Digital Twins-adatelőzmény-kapcsolatot, amely a rendszer által hozzárendelt identitást használja a hitelesítéshez. A végpontok és eseményútvonalak Azure Digital Twinsből Service Bus-erőforrásokra való konfigurálásáról további információt az Azure Digital Twins eseményeinek átirányítása és végpontok létrehozása az Azure Digital Twinsben című témakörben talál.
Azure Monitor (Diagnosztikai beállítások és műveleti csoportok) Lehetővé teszi, hogy az Azure Monitor diagnosztikai információkat és riasztási értesítéseket küldjön a Service Busnak a Service Bus-névtérben. Az Azure Monitor képes adatokat olvasni és írni a Service Bus-névtérbe.
Azure Synapse Lehetővé teszi, hogy az Azure Synapse a Synapse-munkaterület felügyelt identitásával csatlakozzon a service bushoz. Adja hozzá az Azure Service Bus adatküldő, fogadó vagy tulajdonos szerepkört a Service Bus-névtér identitásához.

Az Azure Service Bus többi megbízható szolgáltatása az alábbiakban található:

  • Azure Adatkezelő
  • Azure Health Data Services
  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview

Ha engedélyezni szeretné, hogy a megbízható szolgáltatások hozzáférjenek a névtérhez, váltson a Hálózat lap Nyilvános hozzáférés lapjára, és válassza az Igen lehetőséget a megbízható Microsoft-szolgáltatások engedélyezéséhez a tűzfal megkerüléséhez?.

Privát végpont hozzáadása a PowerShell használatával

Az alábbi példa bemutatja, hogyan hozhat létre privát végpontkapcsolatot egy Service Bus-névtérhez az Azure PowerShell használatával.

A virtuális hálózatnak és a privát végpontnak ugyanabban a régióban kell lenniük. A Service Bus-névtér egy másik régióban is lehet. A privát végpont pedig egy privát IP-címet használ a virtuális hálózaton.


$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties


Privát végpontok kezelése az Azure Portal használatával

Privát végpont létrehozásakor a kapcsolatot jóvá kell hagyni. Ha az erőforrás, amelyhez privát végpontot hoz létre, a címtárban található, jóváhagyhatja a kapcsolatkérést, feltéve, hogy rendelkezik megfelelő engedélyekkel. Ha egy másik címtárban lévő Azure-erőforráshoz csatlakozik, meg kell várnia, amíg az erőforrás tulajdonosa jóváhagyja a kapcsolatkérést.

Négy kiépítési állapot létezik:

Szolgáltatásművelet Szolgáltatásfelhasználó privát végpontjának állapota Leírás
Egyik sem Függőben A kapcsolat manuálisan jön létre, és függőben van a Private Link-erőforrás tulajdonosának jóváhagyásáig.
Jóváhagyás Engedélyezve A kapcsolat automatikusan vagy manuálisan lett jóváhagyva, és készen áll a használatra.
Elutasítás Elutasítva A privát kapcsolat erőforrás-tulajdonosa elutasította a kapcsolatot.
Eltávolítás Leválasztva A kapcsolatot a privát kapcsolat erőforrás-tulajdonosa eltávolította, a privát végpont informatív lesz, és törölni kell a törléshez.

Privát végpontkapcsolat jóváhagyása, elvetése vagy eltávolítása

  1. Jelentkezzen be az Azure Portalra.
  2. A keresősávba írja be a Service Bus kifejezést.
  3. Jelölje ki a kezelni kívánt névteret .
  4. Válassza a Hálózatkezelés lapot.
  5. A kívánt művelet alapján tekintse meg a megfelelő alábbi szakaszt: jóváhagyás, elutasítás vagy eltávolítás.

Privát végpontkapcsolat jóváhagyása

  1. Ha vannak függőben lévő kapcsolatok, a kiépítési állapotban megjelenik a Függőben állapotú kapcsolat.

  2. Válassza ki a jóváhagyni kívánt privát végpontot

  3. Válassza a Jóváhagyás gombot.

    Privát végpont jóváhagyása

  4. A Kapcsolat jóváhagyása lapon adjon meg egy nem kötelező megjegyzést, és válassza az Igen lehetőséget. Ha a Nem lehetőséget választja, semmi sem történik.

    Kapcsolati oldal jóváhagyása

  5. A kapcsolat állapotát a listában jóváhagyottra kell módosítani.

    Kapcsolat állapota – jóváhagyva

Privát végpontkapcsolat elvetése

  1. Ha van olyan privát végpontkapcsolat, amelyet el szeretne utasítani, függetlenül attól, hogy függőben lévő vagy korábban jóváhagyott kapcsolatról van-e szó, válassza ki a végpontkapcsolatot, és válassza az Elutasítás gombot.

    Elutasítás gomb

  2. A Kapcsolat elvetése lapon adjon meg egy nem kötelező megjegyzést, és válassza az Igen lehetőséget. Ha a Nem lehetőséget választja, semmi sem történik.

    Kapcsolati oldal elvetése

  3. A kapcsolat állapotát az Elutasítva listában kell látnia.

    Végpont elutasítva

Privát végpontkapcsolat eltávolítása

  1. Privát végpontkapcsolat eltávolításához jelölje ki a listában, és válassza az Eltávolítás lehetőséget az eszköztáron.

    Eltávolítás gomb

  2. A Kapcsolat törlése lapon válassza az Igen lehetőséget a privát végpont törlésének megerősítéséhez. Ha a Nem lehetőséget választja, semmi sem történik.

    Kapcsolati oldal törlése

  3. Látnia kell, hogy az állapot megszakadt állapotúra módosult. Ezután a végpont eltűnik a listából.

Ellenőriznie kell, hogy a privát végpont virtuális hálózatában lévő erőforrások egy privát IP-címen keresztül csatlakoznak-e a Service Bus-névtérhez, és hogy a megfelelő privát DNS-zónaintegrációval rendelkeznek-e.

Először hozzon létre egy virtuális gépet a Windows rendszerű virtuális gép létrehozása az Azure Portalon című cikk lépéseit követve

A Hálózatkezelés lapon:

  1. Adja meg a virtuális hálózatot és az alhálózatot. Ki kell választania azt a virtuális hálózatot, amelyen a privát végpontot üzembe helyezte.
  2. Adjon meg egy nyilvános IP-erőforrást.
  3. Hálózati hálózati biztonsági csoport esetén válassza a Nincs lehetőséget.
  4. Terheléselosztáshoz válassza a Nem lehetőséget.

Csatlakozzon a virtuális géphez, nyissa meg a parancssort, és futtassa a következő parancsot:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Az alábbihoz hasonló eredményt kell látnia.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Korlátozások és tervezési szempontok

  • A díjszabással kapcsolatos információkért tekintse meg az Azure Private Link díjszabását.
  • Ez a funkció minden nyilvános Azure-régióban elérhető.
  • Privát végpontok maximális száma Service Bus-névtérenként: 120.
  • A forgalom nem a TCP-rétegen, hanem az alkalmazásrétegen van blokkolva. Ezért azt látja, hogy a TCP-kapcsolatok vagy nslookup műveletek sikeresek a nyilvános végponton annak ellenére, hogy a nyilvános hozzáférés le van tiltva.

További információ: Azure Private Link szolgáltatás: Korlátozások

Következő lépések

  • További információ az Azure Private Linkről
  • További információ az Azure Service Busról