Izinkan akses ke namespace Azure Event Hubs melalui titik akhir privat

Azure Private Link Service memungkinkan Anda mengakses Azure Services (misalnya, Azure Event Hubs, Azure Storage, dan Azure Cosmos DB) dan layanan pelanggan/mitra yang dihosting Azure melalui titik akhir di jaringan virtual Anda.

Titik akhir privat adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik akhir privat menggunakan alamat IP privat dari jaringan virtual Anda, membawa layanan ke jaringan virtual Anda secara efektif. Semua lalu lintas ke layanan dapat dialihkan melalui titik akhir privat, sehingga tidak ada gateway, perangkat NAT, koneksi ExpressRoute atau VPN, atau alamat IP publik yang diperlukan. Lalu lintas antara jaringan virtual Anda dan layanan melintasi jaringan backbone Microsoft, menghilangkan paparan dari Internet publik. Anda dapat menyambungkan ke instans sumber daya Azure, memberi Anda tingkat granularitas tertinggi dalam kontrol akses.

Untuk informasi selengkapnya, lihat Apa itu Azure Private Link?

Poin penting

• Fitur ini tidak didukung di tingkat dasar.
• Menerapkan titik akhir privat dapat mencegah layanan Azure lainnya berinteraksi dengan Event Hubs. Permintaan yang diblokir termasuk yang berasal dari layanan Azure lainnya, dari portal Microsoft Azure, dari layanan pembuatan log dan metrik, dan sebagainya. Sebagai pengecualian, Anda dapat mengizinkan akses ke sumber daya Event Hubs dari layanan tepercaya tertentu bahkan ketika titik akhir privat diaktifkan. Untuk daftar layanan tepercaya, lihat Layanan Tepercaya.
• Tentukan paling sedikit satu aturan IP atau aturan jaringan virtual untuk namespace untuk mengizinkan lalu lintas hanya dari alamat IP atau subnet yang ditentukan dari jaringan virtual. Jika tidak ada aturan IP dan aturan jaringan virtual, namespace dapat diakses melalui internet publik (menggunakan tombol akses).

Menambahkan titik akhir privat menggunakan portal Microsoft Azure

Prasyarat

Untuk mengintegrasikan namespace Layanan Pusat Aktivitas dengan Azure Private Link, Anda memerlukan entitas atau izin berikut:

• Namespace Event Hubs.
• Jaringan virtual Azure.
• Subnet di jaringan virtual. Anda dapat menggunakan subnet default.
• Izin pemilik atau kontributor untuk namespace dan jaringan virtual.

Titik akhir privat dan jaringan virtual Anda harus berada di wilayah yang sama. Saat Anda memilih wilayah untuk titik akhir privat menggunakan portal, wilayah tersebut akan secara otomatis hanya memfilter jaringan virtual yang ada di wilayah tersebut. Namespace dapat berada di wilayah yang berbeda.

Titik akhir privat Anda menggunakan alamat IP privat di jaringan virtual Anda.

Mengonfigurasi akses privat saat membuat namespace

Saat membuat namespace layanan, Anda hanya dapat mengizinkan akses publik (dari semua jaringan) atau privat saja (hanya melalui titik akhir privat) ke namespace.

Jika Anda memilih opsi Akses privat di halaman Jaringan wizard pembuatan namespace, Anda bisa menambahkan titik akhir privat di halaman dengan memilih tombol + Titik akhir privat . Lihat bagian berikutnya untuk langkah-langkah terperinci untuk menambahkan titik akhir privat.

Mengonfigurasi akses privat untuk namespace yang sudah ada

Jika Anda sudah memiliki namespace Event Hubs, Anda bisa membuat koneksi tautan privat dengan mengikuti langkah-langkah berikut:

1. Masuk ke portal Microsoft Azure.

2. Di bilah pencarian, ketikkan pusat aktivitas.

3. Pilih namespace dari daftar yang ingin Anda tambahkan titik akhir privatnya.

4. Pada halaman Jaringan , untuk Akses jaringan publik, pilih Dinonaktifkan jika Anda ingin namespace hanya diakses melalui titik akhir privat.

5. Untuk Izinkan layanan Microsoft tepercaya melewati firewall ini, pilih Ya jika Anda ingin mengizinkan layanan Microsoft tepercaya melewati firewall ini.

   

6. Beralih ke tabKoneksi titik akhir privat.

7. Pilih tombol + Titik Akhir Privat di bagian atas halaman.

   

8. Pada halaman Dasar-Dasar, ikuti langkah-langkah berikut ini:

   1. Pilih langganan Azure tempat Anda ingin membuat titik akhir privat.

   2. Pilih grup sumber daya untuk sumber daya titik akhir privat.

   3. Masukkan nama untuk titik akhir privat.

   4. Masukkan nama untuk antarmuka jaringan.

   5. Pilih wilayah untuk titik akhir privat. Titik akhir privat Anda harus berada di wilayah yang sama dengan jaringan virtual Anda, tetapi dapat berada di wilayah yang berbeda dari sumber daya tautan privat yang Anda sambungkan.

   6. Pilih tombol Berikutnya: Sumber Daya > di bagian bawah halaman.

      

9. Di halaman Sumber daya, tinjau pengaturan, lalu pilih Berikutnya: Virtual Network.

   

10. Pada halaman Microsoft Azure Virtual Network, Anda memilih subnet dalam jaringan virtual ke tempat Anda ingin menggunakan titik akhir privat.

    1. Pilih jaringan virtual. Hanya jaringan virtual dalam langganan dan lokasi yang dipilih saat ini yang tercantum dalam daftar turun-bawah.

    2. Pilih subnet di dalam jaringan virtual yang Anda pilih.

    3. Perhatikan bahwa kebijakan jaringan untuk titik akhir privat dinonaktifkan. Jika ingin mengaktifkannya, pilih edit, perbarui pengaturan, lalu pilih Simpan.

    4. Untuk Konfigurasi IP privat, secara default, pilih opsi Alokasikan alamat IP secara dinamis. Jika ingin menetapkan alamat IP statis, pilih Alokasikan alamat IP secara statis*.

    5. Untuk Kelompok keamanan aplikasi, pilih kelompok keamanan aplikasi yang sudah ada atau buat kelompok keamanan yang akan dikaitkan dengan titik akhir privat.

    6. Pilih tombol Berikutnya: DNS > di bagian bawah halaman.

       

11. Di halaman DNS, pilih apakah Anda ingin titik akhir privat diintegrasikan dengan zona DNS privat, lalu pilih Berikutnya: Tag.

12. Pada halaman Tag, buat tag (nama dan nilai) apa pun yang ingin Anda kaitkan dengan sumber daya titik akhir privat. Lalu, pilih Tinjau + buat di bagian bawah halaman.

13. Pada Ulasan + buat, tinjau semua pengaturan, dan pilih Buat untuk membuat titik akhir privat.

    

14. Konfirmasikan bahwa Anda melihat koneksi titik akhir privat yang Anda buat muncul di daftar titik akhir. Dalam contoh ini, titik akhir privat disetujui secara otomatis karena Anda tersambung ke sumber daya Azure di direktori Anda dan Anda memiliki izin yang memadai.

    

Layanan Microsoft tepercaya

Saat Anda mengaktifkan pengaturan Izinkan layanan Microsoft tepercaya untuk melewati firewall ini, layanan berikut dalam penyewa yang sama akan diberikan akses ke sumber daya Event Hubs.

Layanan Tepercaya	Skenario penggunaan yang didukung
Azure Event Grid	Mengizinkan Azure Event Grid untuk mengirim acara ke hub acara di namespace Event Hubs Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk topik atau domain Tambahkan identitas ke peran Azure Event Hubs Data Sender di namespace Event Hubs Kemudian, konfigurasikan langganan acara yang menggunakan hub acara sebagai titik akhir untuk menggunakan identitas yang ditetapkan sistem. Untuk informasi selengkapnya, lihat Pengiriman acara dengan identitas terkelola
Azure Stream Analytics	Mengizinkan tugas Azure Stream Analytics membaca data dari (input) atau menulis data ke hub acara (output) di namespace Hub Acara Anda. Penting: Tugas Stream Analytics harus dikonfigurasi untuk menggunakan identitas terkelola untuk mengakses hub acara. Untuk informasi selengkapnya, lihat Menggunakan identitas terkelola untuk mengakses pusat aktivitas dari pekerjaan Azure Stream Analytics (Pratinjau).
Azure IoT Hub	Memungkinkan IoT Hub mengirim pesan ke hub peristiwa di namespace Layanan Pusat Aktivitas Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk hub IoT Anda Tambahkan identitas ke peran Azure Event Hubs Data Sender di namespace Hub Acara. Kemudian, konfigurasikan IoT Hub yang menggunakan hub acara sebagai titik akhir kustom untuk menggunakan autentikasi berbasis identitas.
Azure API Management	Layanan Manajemen API memungkinkan Anda mengirim acara ke hub acara di namespace Hub Acara Anda. Anda dapat memicu alur kerja khusus dengan mengirimkan acara ke hub acara Anda saat API dipanggil dengan menggunakan kebijakan kirim-permintaan. Anda juga dapat memperlakukan hub acara sebagai backend Anda di API. Untuk contoh kebijakan, lihat Mengautentikasi menggunakan identitas terkelola untuk mengakses hub acara. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem pada instans API Management. Untuk petunjuk, lihat Menggunakan identitas terkelola di Azure API Management. Tambahkan identitas ke peran Azure Event Hubs Data Sender di namespace Event Hubs
Azure Monitor (Pengaturan Diagnostik dan Grup Aksi)	Memungkinkan Azure Monitor mengirim informasi diagnostik ke hub acara di namespace layanan Pusat Aktivitas Anda. Azure Monitor dapat membaca dari hub acara dan juga menulis data ke hub acara.
Azure Synapse	Memungkinkan Azure Synapse untuk terhubung ke pusat aktivitas menggunakan Identitas Terkelola Ruang Kerja Synapse. Tambahkan peran Pengirim, Penerima, atau Pemilik Data Azure Event Hubs ke identitas di namespace layanan Azure Event Hubs.
Azure Data Explorer	Memungkinkan Azure Data Explorer menerima peristiwa dari pusat aktivitas menggunakan Identitas Terkelola kluster. Anda perlu melakukan langkah-langkah berikut: Mengonfigurasi Identitas Terkelola di Azure Data Explorer Berikan peran Azure Event Hubs Data Receiver ke identitas, di hub peristiwa.
Azure IoT Central	Memungkinkan IoT Central mengekspor data ke hub peristiwa di namespace Layanan Pusat Aktivitas Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk aplikasi IoT Central Anda. Tambahkan identitas ke peran Azure Event Hubs Data Sender di namespace Event Hubs. Kemudian, konfigurasikan tujuan ekspor Azure Event Hubs pada aplikasi IoT Central Anda untuk menggunakan autentikasi berbasis identitas.
Azure Health Data Services	Memungkinkan konektor IoT Healthcare API untuk menyerap data perangkat medis dari namespace layanan Azure Event Hubs Anda dan mempertahankan data di layanan Fast Healthcare Interoperability Resources (FHIR®) yang dikonfigurasi. Konektor IoT harus dikonfigurasi untuk menggunakan identitas terkelola untuk mengakses pusat aktivitas. Untuk informasi selengkapnya, lihat Mulai menggunakan konektor IoT - AZURE Healthcare API.
Azure Digital Twins	Memungkinkan Azure Digital Twins untuk mengeluarkan data ke hub peristiwa di namespace Azure Event Hubs Anda. Anda juga perlu melakukan langkah-langkah berikut: Aktifkan identitas yang ditetapkan sistem untuk instans Azure Digital Twins Anda. Tambahkan identitas ke peran Azure Event Hubs Data Sender di namespace Event Hubs. Kemudian, konfigurasikan titik akhir Azure Digital Twins atau koneksi riwayat data Azure Digital Twins yang menggunakan identitas yang ditetapkan sistem untuk mengautentikasi. Untuk informasi selengkapnya tentang mengonfigurasi titik akhir dan rute peristiwa ke sumber daya Azure Event Hubs dari Azure Digital Twins, lihat Merutekan peristiwa Azure Digital Twins dan Membuat titik akhir di Azure Digital Twins.

Layanan tepercaya lainnya untuk Azure Event Hubs dapat ditemukan di bawah ini:

• Azure Arc
• Azure Kubernetes
• Pembelajaran Mesin Azure
• Microsoft Purview

Untuk mengizinkan layanan tepercaya mengakses namespace Anda, beralihlah ke tab Akses Publik pada halaman Jaringan , dan pilih Ya untuk Izinkan layanan Microsoft tepercaya melewati firewall ini?.

Menambahkan titik akhir privat menggunakan PowerShell

Contoh berikut ini memperlihatkan kepada Anda cara menggunakan Azure PowerShell untuk membuat koneksi titik akhir privat. Ini tidak akan membuat kluster khusus untuk Anda. Ikuti langkah-langkah dalam artikel ini untuk membuat kluster Event Hubs khusus.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Mengonfigurasi Zona DNS privat

Buat zona DNS privat untuk domain Event Hubs dan buat tautan kaitan dengan jaringan virtual:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Mengelola titik akhir privat menggunakan portal Microsoft Azure

Saat Anda membuat titik akhir privat, koneksi harus disetujui. Jika sumber daya yang Anda gunakan untuk membuat titik akhir privat ada di direktori Anda, Anda dapat menyetujui permintaan koneksi asalkan Anda memiliki izin yang memadai. Jika Anda menyambungkan ke sumber daya Azure di direktori lain, Anda harus menunggu pemilik sumber daya tersebut menyetujui permintaan koneksi Anda.

Ada empat status penyediaan:

Tindakan layanan	Status layanan titik akhir privat konsumen	Deskripsi
Tidak ada	Sedang diproses	Koneksi dibuat secara manual dan menunggu persetujuan dari pemilik sumber daya Private Link.
Setuju	Disetujui	Koneksi disetujui secara otomatis atau manual dan siap digunakan.
Tolak	Ditolak	Koneksi ditolak oleh pemilik sumber daya tautan privat.
Hapus	Terputus	Koneksi dihapus oleh pemilik sumber daya tautan privat, titik akhir privat menjadi informatif dan harus dihapus untuk dibersihkan.

Menyetujui, menolak, atau menghapus koneksi titik akhir privat

1. Masuk ke portal Azure.
2. Di bilah pencarian, ketikkan pusat aktivitas.
3. Pilih namespace yang ingin Anda kelola.
4. Pilih tab Jaringan.
5. Buka bagian berikut yang sesuai berdasarkan operasi yang ingin Anda: setujui, tolak, atau hapus.

Menyetujui koneksi titik akhir privat

1. Jika ada koneksi yang tertunda, Anda akan melihat koneksi yang tercantum dengan Tertunda dalam status provisi.

2. Pilih titik akhir privat yang ingin Anda setujui

3. Pilih tombol Setujui.

   

4. Pada halaman Setujui koneksi, tambahkan komentar (opsional), dan pilih Ya. Jika Anda memilih Tidak, tidak ada yang terjadi.

5. Anda akan melihat status koneksi titik akhir privat dalam daftar yang berubah menjadi Disetujui.

Menolak koneksi titik akhir privat

1. Jika ada koneksi titik akhir privat yang ingin Anda tolak, apakah itu permintaan tertunda atau koneksi yang sudah ada, pilih koneksi dan pilih tombol Tolak .

   

2. Pada halaman Tolak koneksi, masukkan komentar opsional, dan pilih Ya. Jika Anda memilih Tidak, tidak ada yang terjadi.

3. Anda akan melihat status koneksi titik akhir privat dalam daftar yang berubah menjadi Ditolak.

Menghapus koneksi titik akhir privat

1. Untuk menghapus koneksi titik akhir privat, pilih koneksi tersebut dalam daftar, dan pilih Hapus pada toolbar.
2. Pada halaman Hapus koneksi, pilih Ya untuk mengonfirmasi penghapusan titik akhir privat. Jika Anda memilih Tidak, tidak ada yang terjadi.
3. Anda akan melihat status berubah menjadi Terputus. Kemudian, titik akhir menghilang dari daftar.

Melakukan validasi bahwa koneksi tautan privat berfungsi

Anda harus memvalidasi bahwa sumber daya dalam jaringan virtual titik akhir privat terhubung ke namespace Event Hubs Anda melalui alamat IP pribadi, dan bahwa mereka memiliki integrasi zona DNS pribadi yang benar.

Pertama, buat komputer virtual dengan mengikuti langkah-langkah dalam Buat komputer virtual Windows di portal Microsoft Azure

Pada tab Jaringan:

1. Tentukan Jaringan virtual dan Subnet. Anda harus memilih Virtual Network tempat Anda menyebarkan titik akhir privat.
2. Tentukan sumber daya IP publik.
3. Di Grup keamanan jaringan NIC, pilih Tidak Ada.
4. Di Load balancing, pilih Tidak.

Sambungkan ke komputer virtual, buka baris perintah, dan jalankan perintah berikut ini:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Anda akan melihat hasil yang terlihat seperti berikut ini.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Batasan dan pertimbangan desain

• Untuk informasi harga, lihat Harga Azure Private Link.
• Fitur ini tersedia di semua wilayah publik Azure.
• Jumlah maksimal titik akhir privat per namespace Event Hubs: 120.
• Lalu lintas diblokir di lapisan aplikasi, bukan pada lapisan TCP. Oleh karena itu, Anda melihat koneksi atau nslookup operasi TCP berhasil terhadap titik akhir publik meskipun akses publik dinonaktifkan.

Untuk info selengkapnya, lihat Layanan Azure Private Link: Batasan

Langkah berikutnya

• Pelajari selengkapnya tentang Azure Private Link
• Pelajari selengkapnya tentang Azure Event Hubs