Megosztás a következőn keresztül:

Hozzáférés engedélyezése az Azure Service Bus-névtérhez adott IP-címekről vagy -tartományokból

  • Cikk

Alapértelmezés szerint a Service Bus-névterek az internetről érhetők el, amennyiben a kérelem érvényes hitelesítést és engedélyezést tartalmaz. Ip-tűzfal esetén a bejövő forgalom IPv4-címek vagy IPv4-címtartományok halmazára korlátozható (a CIDR (osztály nélküli tartományok közötti útválasztás) jelölésében).

Ez a funkció olyan helyzetekben hasznos, amelyekben az Azure Service Busnak csak bizonyos jól ismert helyekről kell elérhetőnek lennie. A tűzfalszabályok lehetővé teszik a szabályok konfigurálását, hogy elfogadják a meghatározott IPv4-címekről származó forgalmat. Ha például a Service Bust az Azure Express Route-nal használja, létrehozhat egy tűzfalszabályt, amely csak a helyszíni infrastruktúra IP-címéről vagy egy vállalati NAT-átjáró címéről engedélyezi a forgalmat.

IP-tűzfalszabályok

Az IP-tűzfalszabályok a Service Bus-névtér szintjén vannak alkalmazva. Ezért a szabályok minden támogatott protokollt használó ügyfélkapcsolatra (AMQP (5671) és HTTPS (443)) vonatkoznak. A Service Bus-névtérben engedélyezett IP-szabállyal nem egyező IP-címekről érkező csatlakozási kísérleteket a rendszer jogosulatlanként elutasítja. A válasz nem említi az IP-szabályt. A rendszer sorrendben alkalmazza az IP-szűrési szabályokat, és az IP-címnek megfelelő első szabály határozza meg az elfogadási vagy elutasítási műveletet.

Fontos tudnivalók

  • A virtuális hálózatok csak a Service Bus prémium szintjén támogatottak. Ha a prémium szintre való frissítés nem lehetőség, ip-tűzfalszabályokat is használhat. Javasoljuk, hogy tartsa biztonságosan a közös hozzáférésű jogosultságkód (SAS) jogkivonatot, és ossza meg csak a jogosult felhasználókkal. Az SAS-hitelesítésről további információt a hitelesítés és az engedélyezés című témakörben talál.

  • Adjon meg legalább egy IP-tűzfalszabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat. Ha nincsenek IP- és virtuális hálózati szabályok, a névtér a nyilvános interneten keresztül (a hozzáférési kulcs használatával) érhető el.

  • A tűzfalszabályok implementálása megakadályozhatja, hogy más Azure-szolgáltatások kommunikálnak a Service Bus szolgáltatással. Kivételként engedélyezheti a Service Bus-erőforrások elérését bizonyos megbízható szolgáltatásokból , még akkor is, ha engedélyezve van az IP-szűrés. A megbízható szolgáltatások listáját a Megbízható szolgáltatások című témakörben találja.

    A következő Microsoft-szolgáltatások kell lennie egy virtuális hálózaton

    • Azure App Service
    • Azure Functions

Feljegyzés

A Hálózatkezelés lap csak a prémium szintű névterek esetében jelenik meg. Ha ip-tűzfalszabályokat szeretne beállítani a többi réteghez, használja az Azure Resource Manager-sablonokat, az Azure CLI-t, a PowerShellt vagy a REST API-t.

Az Azure Portal használata

Névtér létrehozásakor engedélyezheti a névtérhez csak nyilvános (minden hálózatból származó) vagy csak privát (csak privát végpontokon keresztüli) hozzáférést. A névtér létrehozása után engedélyezheti a hozzáférést adott IP-címekről vagy adott virtuális hálózatokról (hálózati szolgáltatásvégpontok használatával).

Nyilvános hozzáférés konfigurálása névtér létrehozásakor

A nyilvános hozzáférés engedélyezéséhez válassza a Nyilvános hozzáférés lehetőséget a névtérlétrehozás varázsló Hálózatkezelés lapján.

Képernyőkép a Névtér létrehozása varázsló Hálózatkezelés lapjáról, amelyen a Nyilvános hozzáférés lehetőség van kiválasztva.

A névtér létrehozása után válassza a Service Bus névtérlapjának bal oldali menüjében a Hálózatkezelés lehetőséget. Láthatja, hogy a Minden hálózat beállítás be van jelölve. Kiválaszthatja a Kiválasztott hálózatok lehetőséget, és engedélyezheti a hozzáférést adott IP-címekről vagy adott virtuális hálózatokról. A következő szakasz részletesen ismerteti az IP-tűzfal konfigurálását azon IP-címek megadásához, amelyekből a hozzáférés engedélyezve van.

IP-tűzfal konfigurálása meglévő névtérhez

Ez a szakasz bemutatja, hogyan hozhat létre IP-tűzfalszabályokat egy Service Bus-névtérhez az Azure Portal használatával.

  1. Lépjen a Service Bus-névtérre az Azure Portalon.

  2. A bal oldali menüben válassza a Beállítások területen a Hálózatkezelés lehetőséget.

    Feljegyzés

    A Hálózatkezelés lap csak a prémium szintű névterek esetében jelenik meg.

  3. A Hálózatkezelés lapon a nyilvános hálózati hozzáféréshez az alábbi három lehetőség egyikét állíthatja be. Ha csak a megadott IP-címekről szeretné engedélyezni a hozzáférést, válassza a Kiválasztott hálózatok lehetőséget.

    • Letiltva. Ez a beállítás letiltja a névtérhez való nyilvános hozzáférést. A névtér csak privát végpontokon keresztül érhető el.

      Képernyőkép egy olyan névtér hálózatkezelési oldaláról, amelyen a nyilvános hozzáférés le van tiltva.

      Adja meg, hogy engedélyezi-e a megbízható Microsoft-szolgáltatások a tűzfal megkerülését. Az Azure Service Bus megbízható Microsoft-szolgáltatások listáját a Megbízható Microsoft-szolgáltatások szakaszban találja.

    • Kijelölt hálózatok. Ez a beállítás lehetővé teszi a névtérhez való nyilvános hozzáférést a kiválasztott hálózatok hozzáférési kulcsával.

      Fontos

      Ha a kiválasztott hálózatokat választja, adjon hozzá legalább egy IP-tűzfalszabályt vagy egy virtuális hálózatot, amely hozzáfér a névtérhez. Válassza a Letiltva lehetőséget, ha csak magánvégpontokon szeretné korlátozni a névtérbe irányuló összes forgalmat.

    • Minden hálózat (alapértelmezett). Ez a beállítás egy hozzáférési kulccsal teszi lehetővé az összes hálózat nyilvános elérését. Ha a Minden hálózat lehetőséget választja, a Service Bus bármilyen IP-címről fogad kapcsolatokat (a hozzáférési kulcs használatával). Ez a beállítás egyenértékű a 0.0.0.0/0 IP-címtartományt elfogadó szabvánnyal.

  4. Ha csak a megadott IP-címről szeretné engedélyezni a hozzáférést, válassza a Kijelölt hálózatok lehetőséget, ha még nincs kijelölve. A Tűzfal szakaszban kövesse az alábbi lépéseket:

    1. Válassza az Ügyfél IP-címének hozzáadása lehetőséget, hogy az aktuális ügyfél IP-címe hozzáférést kapjon a névtérhez.

    2. Címtartomány esetén adjon meg egy adott IPv4-címet vagy egy IPv4-címtartományt a CIDR-jelölésben.

    3. Adja meg, hogy engedélyezi-e a megbízható Microsoft-szolgáltatások a tűzfal megkerülését. Az Azure Service Bus megbízható Microsoft-szolgáltatások listáját a Megbízható Microsoft-szolgáltatások szakaszban találja.

      Figyelmeztetés

      Ha a Kiválasztott hálózatok lehetőséget választja, és nem ad hozzá legalább egy IP-tűzfalszabályt vagy virtuális hálózatot ezen a lapon, a névtér nyilvános interneten keresztül (a hozzáférési kulcs használatával) érhető el.

      Képernyőkép az Azure Portal hálózatkezelési oldaláról. A kijelölt hálózatokból való hozzáférés engedélyezésének lehetősége ki van jelölve, és a Tűzfal szakasz ki van emelve.

  5. A beállítások mentéséhez válassza a Mentés az eszköztáron lehetőséget. Várjon néhány percet, amíg a megerősítés megjelenik a portál értesítései között.

    Feljegyzés

    Az adott virtuális hálózatokhoz való hozzáférés korlátozásához lásd: Hozzáférés engedélyezése adott hálózatokról.

Megbízható Microsoft-szolgáltatások

Ha engedélyezi, hogy a megbízható Microsoft-szolgáltatások megkerülje ezt a tűzfalbeállítást, a következő szolgáltatások kapnak hozzáférést a Service Bus-erőforrásokhoz.

Megbízható szolgáltatás Támogatott használati forgatókönyvek
Azure Event Grid Lehetővé teszi, hogy az Azure Event Grid eseményeket küldjön a Service Bus-névtér üzenetsoraiba vagy témaköreibe. A következő lépéseket is el kell végeznie:
  • Rendszer által hozzárendelt identitás engedélyezése témakörhöz vagy tartományhoz
  • Identitás hozzáadása az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben
  • Ezután konfigurálja a Service Bus-üzenetsort vagy -témakört végpontként használó esemény-előfizetést a rendszer által hozzárendelt identitás használatára.

További információ: Eseménykézbesítés felügyelt identitással
Azure Stream Analytics Lehetővé teszi, hogy egy Azure Stream Analytics-feladat adatokat kimeneteljen a Service Bus-üzenetsorok számára témakörökbe.

Fontos: A Stream Analytics-feladatot úgy kell konfigurálni, hogy felügyelt identitást használjon a Service Bus-névtér eléréséhez. Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben.

Azure IoT Hub Lehetővé teszi, hogy az IoT Hub üzeneteket küldjön a Service Bus-névtér üzenetsoraiba vagy témaköreibe. A következő lépéseket is el kell végeznie:
Azure API Management

Az API Management szolgáltatással üzeneteket küldhet a Service Bus-üzenetsorba vagy -témakörbe a Service Bus-névtérben.

  • Egyéni munkafolyamatokat úgy indíthat el, hogy üzeneteket küld a Service Bus-üzenetsorba vagy -témakörbe, amikor egy API-t a küldési kérési szabályzattal hív meg.
  • Egy Service Bus-üzenetsort/témakört háttérrendszerként is kezelhet egy API-ban. Mintaszabályzatot a Service Bus-üzenetsorok vagy -témakörök elérésére szolgáló felügyelt identitás használatával történő hitelesítés című témakörben talál. A következő lépéseket is el kell végeznie:
    1. Engedélyezze a rendszer által hozzárendelt identitást az API Management-példányon. Útmutatásért lásd : Felügyelt identitások használata az Azure API Managementben.
    2. Identitás hozzáadása az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben
Azure IoT Central

Lehetővé teszi, hogy az IoT Central adatokat exportáljon Service Bus-üzenetsorba vagy a Service Bus-névtérben lévő témakörökbe. A következő lépéseket is el kell végeznie:

  • Rendszer által hozzárendelt identitás engedélyezése az IoT Central-alkalmazáshoz
  • Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben.
  • Ezután konfigurálja a Service Bus-exportálási célhelyet az IoT Central-alkalmazásban identitásalapú hitelesítés használatára.
Azure Digital Twins Lehetővé teszi az Azure Digital Twins számára, hogy adatokat adjon ki a Service Bus-témakörökbe a Service Bus-névtérben. A következő lépéseket is el kell végeznie:

  • Engedélyezze a rendszer által hozzárendelt identitást az Azure Digital Twins-példányhoz.
  • Adja hozzá az identitást az Azure Service Bus-adatküldő szerepkörhöz a Service Bus-névtérben.
  • Ezután konfiguráljon egy Azure Digital Twins-végpontot vagy Azure Digital Twins-adatelőzmény-kapcsolatot, amely a rendszer által hozzárendelt identitást használja a hitelesítéshez. A végpontok és eseményútvonalak Azure Digital Twinsből Service Bus-erőforrásokra való konfigurálásáról további információt az Azure Digital Twins eseményeinek átirányítása és végpontok létrehozása az Azure Digital Twinsben című témakörben talál.
Azure Monitor (Diagnosztikai beállítások és műveleti csoportok) Lehetővé teszi, hogy az Azure Monitor diagnosztikai információkat és riasztási értesítéseket küldjön a Service Busnak a Service Bus-névtérben. Az Azure Monitor képes adatokat olvasni és írni a Service Bus-névtérbe.
Azure Synapse Lehetővé teszi, hogy az Azure Synapse a Synapse-munkaterület felügyelt identitásával csatlakozzon a service bushoz. Adja hozzá az Azure Service Bus adatküldő, fogadó vagy tulajdonos szerepkört a Service Bus-névtér identitásához.

Az Azure Service Bus többi megbízható szolgáltatása az alábbiakban található:

  • Azure Adatkezelő
  • Azure Health Data Services
  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview
  • Microsoft Defender for Cloud
  • Azure Provider Hub

Resource Manager-sablon használata

Ez a szakasz egy minta Azure Resource Manager-sablonnal rendelkezik, amely egy virtuális hálózatot és egy tűzfalszabályt ad hozzá egy meglévő Service Bus-névtérhez.

Az ipMask egyetlen IPv4-cím vagy EGY IP-címblokk a CIDR-jelölésben. A CIDR-jelölésben például a 70.37.104.0/24 a 256 IPv4-címet jelöli a 70.37.104.0-tól a 70.37.104.255-ösig, a 24 pedig a tartomány jelentős előtagbitjeinek számát jelzi.

Feljegyzés

Az alapértelmezett érték a defaultAction következő Allow. Virtuális hálózat vagy tűzfalszabályok hozzáadásakor győződjön meg arról, hogy a defaultAction következőre Denyvan állítva: .

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespace_name": {
            "defaultValue": "mypremiumnamespace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.ServiceBus/namespaces",
            "apiVersion": "2022-10-01-preview",
            "name": "[parameters('namespace_name')]",
            "location": "East US",
            "sku": {
                "name": "Premium",
                "tier": "Premium",
                "capacity": 1
            },
            "properties": {
                "premiumMessagingPartitions": 1,
                "minimumTlsVersion": "1.2",
                "publicNetworkAccess": "Enabled",
                "disableLocalAuth": false,
                "zoneRedundant": true
            }
        },
        {
            "type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
            "apiVersion": "2022-10-01-preview",
            "name": "[concat(parameters('namespace_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

A sablon üzembe helyezéséhez kövesse az Azure Resource Manager utasításait.

Fontos

Ha nincsenek IP- és virtuális hálózati szabályok, az összes forgalom a névtérbe áramlik, még akkor is, ha be van állítva a defaultAction következőre deny. A névtér a nyilvános interneten keresztül (a hozzáférési kulccsal) érhető el. Adjon meg legalább egy IP-szabályt vagy virtuális hálózati szabályt a névtérhez, hogy csak egy virtuális hálózat megadott IP-címéről vagy alhálózatáról engedélyezze a forgalmat.

Az Azure parancssori felület használatával

Parancsok az servicebus namespace network-rule-set hozzáadása, listázása, frissítése és eltávolítása a Service Bus-névtér IP-tűzfalszabályainak kezeléséhez.

Azure PowerShell használatával

Az alábbi Azure PowerShell-parancsokkal adhat hozzá, listázhat, távolíthat el, frissíthet és törölhet IP-tűzfalszabályokat.

Alapértelmezett művelet és nyilvános hálózati hozzáférés

REST API

A tulajdonság alapértelmezett értéke az defaultAction API 2021-01-01-preview és korábbi verziója voltDeny. A megtagadási szabályt azonban csak akkor kényszeríti ki a rendszer, ha IP-szűrőket vagy virtuális hálózati (VNet-) szabályokat állít be. Vagyis ha nem rendelkezik IP-szűrőkkel vagy VNet-szabályokkal, a rendszer úgy kezeli, mint Allow.

Az API 2021-06-01 előzetes verziójától kezdve a tulajdonság Allowalapértelmezett értéke a defaultAction szolgáltatásoldali kényszerítés pontos tükrözése. Ha az alapértelmezett művelet be van állítva Deny, az IP-szűrők és a virtuális hálózati szabályok érvénybe lépnek. Ha az alapértelmezett művelet be van állítva Allow, a rendszer nem kényszeríti ki az IP-szűrőket és a virtuális hálózati szabályokat. A szolgáltatás megjegyzi a szabályokat, amikor kikapcsolja őket, majd újra bekapcsolja őket.

Az API 2021-06-01-preview verziója egy új tulajdonságot publicNetworkAccessis bevezet. Ha be van állítva Disabled, a műveletek csak a privát hivatkozásokra korlátozódnak. Ha be van állítva Enabled, a műveletek engedélyezettek a nyilvános interneten keresztül.

További információ ezekről a tulajdonságokról: Privát végpontkapcsolatok létrehozása vagy frissítése.

Feljegyzés

A fenti beállítások egyike sem kerüli el a jogcímek SAS vagy Microsoft Entra hitelesítésen keresztüli érvényesítését. A hitelesítési ellenőrzés mindig akkor fut, ha a szolgáltatás ellenőrzi a beállítások publicNetworkAccessprivateEndpointConnections által defaultActionkonfigurált hálózati ellenőrzéseket.

Azure Portal

Az Azure Portal mindig a legújabb API-verziót használja a tulajdonságok lekéréséhez és beállításához. Ha korábban a névteret a 2021-01-01 előzetes verzióban, korábban pedig nulla IP-szűrőkkel és virtuális hálózatokra vonatkozó Denyszabályokkal defaultAction konfigurálta, a portál korábban a Névtér Hálózat lapján ellenőrizte a Kijelölt hálózatok lehetőséget. Most a Minden hálózat lehetőséget ellenőrzi.

Képernyőkép az Azure Portal hálózatkezelési oldaláról. A Tűzfalak és a virtuális hálózatok lapon a Minden hálózatból való hozzáférés engedélyezése lehetőség van kiválasztva.

Következő lépések

A Service Bus azure-beli virtuális hálózatokhoz való hozzáférésének korlátozásához tekintse meg az alábbi hivatkozást: