Bagikan melalui

Perbolehkan akses ke namespace Bus Layanan Azure dari jaringan virtual tertentu

  • Artikel

Integrasi Bus Layanan dengan titik akhir layanan Virtual Network memungkinkan akses aman ke kemampuan olahpesan dari beban kerja seperti komputer virtual yang terikat ke jaringan virtual, dengan jalur lalu lintas jaringan diamankan di kedua ujungnya.

Setelah dikonfigurasi untuk terikat ke setidaknya satu titik akhir layanan subnet jaringan virtual, namespace layanan Bus Layanan masing-masing tidak akan lagi menerima lalu lintas dari mana saja tetapi jaringan virtual yang diotorisasi dan, secara opsional, alamat IP internet tertentu. Dari perspektif jaringan virtual, mengikat namespace Service Bus ke titik akhir layanan mengonfigurasi terowongan jaringan terisolasi dari subnet jaringan virtual ke layanan pesan.

Hasilnya adalah hubungan pribadi dan terisolasi antara beban kerja yang terikat ke subnet dan namespace Service Bus masing-masing, terlepas dari alamat jaringan yang dapat diamati dari titik akhir layanan pesan berada dalam rentang IP publik.

Poin penting

  • Jaringan Virtual hanya didukung di namespace Service Bus tingkat Premium. Saat menggunakan titik akhir layanan jaringan virtual dengan Bus Layanan, Anda tidak boleh mengaktifkan titik akhir ini dalam aplikasi yang mencampur namespace Bus Layanan tingkat standar dan premium. Karena tingkat standar tidak mendukung jaringan virtual. Titik akhir hanya dibatasi untuk namespace tingkat Premium.

  • Menerapkan integrasi Jaringan Virtual dapat mencegah layanan Azure lainnya berinteraksi dengan Service Bus. Sebagai pengecualian, Anda dapat mengizinkan akses ke sumber daya Service Bus dari layanan tepercaya tertentu bahkan ketika titik akhir layanan jaringan diaktifkan. Untuk daftar layanan tepercaya, lihat Layanan tepercaya.

    Layanan Microsoft berikut ini diperlukan untuk berada di jaringan virtual

    • Azure App Service
    • Azure Functions

  • Tentukan paling sedikit satu aturan IP atau aturan jaringan virtual untuk namespace untuk mengizinkan lalu lintas hanya dari alamat IP atau subnet yang ditentukan dari jaringan virtual. Jika tidak IP dan aturan jaringan virtual, namespace dapat diakses melalui internet publik (menggunakan tombol akses).

Skenario keamanan tingkat lanjut diaktifkan oleh integrasi jaringan virtual

Solusi yang membutuhkan keamanan yang ketat dan kompartemen, dan di mana subnet jaringan virtual memberikan segmentasi antara layanan kompartemen, umumnya masih memerlukan jalur komunikasi antara layanan yang berada di kompartemen tersebut.

Setiap rute IP langsung antara kompartemen, termasuk yang membawa HTTPS melalui TCP/IP, yang membawa risiko eksploitasi kerentanan dari lapisan jaringan di atas. Layanan olahpesan menyediakan jalur komunikasi yang terisolasi, di mana pesan bahkan ditulis ke disk saat mereka bertransisi antar pihak. Beban kerja dalam dua jaringan virtual berbeda yang keduanya terikat dengan instans Service Bus yang sama dapat berkomunikasi secara efisien dan andal melalui pesan, sementara integritas batas isolasi jaringan masing-masing dipertahankan.

Hal ini berarti solusi cloud sensitif keamanan Anda tidak hanya mendapatkan akses ke kemampuan olahpesan asinkron terdepan di industri Azure dan dapat diskalakan, tetapi sekarang dapat menggunakan olahpesan untuk membuat jalur komunikasi antara kompartemen solusi aman yang secara inheren lebih aman dari yang dapat dicapai dengan mode komunikasi peer-to-peer, termasuk HTTPS dan protokol soket aman TLS lainnya.

Mengikat Bus Layanan ke jaringan virtual

Aturan jaringan virtual adalah fitur keamanan firewall yang mengontrol apakah server Azure Service Bus Anda menerima koneksi dari subnet jaringan virtual tertentu.

Mengikat namespace Service Bus ke jaringan virtual adalah proses dua langkah. Pertama-tama Anda perlu membuat titik akhir layanan Virtual Network pada subnet Virtual Network dan mengaktifkannya untuk Microsoft.ServiceBus seperti yang dijelaskan dalam ringkasan titik akhir layanan. Setelah Anda menambahkan titik akhir layanan, Anda mengikat namespace layanan Azure Service Bus ke dalamnya dengan aturan jaringan virtual.

Aturan jaringan virtual adalah asosiasi namespace Service Bus dengan subnet jaringan virtual. Meskipun aturan ada, semua beban kerja yang terikat ke subnet diberikan akses ke namespace Service Bus. Azure Service Bus sendiri tidak pernah membuat koneksi keluar, tidak perlu mendapatkan akses, dan karena itu tidak pernah diberikan akses ke subnet Anda dengan mengaktifkan aturan ini.

Catatan

Ingat bahwa titik akhir layanan jaringan menyediakan aplikasi yang berjalan di jaringan virtual akses ke namespace Service Bus. Jaringan virtual mengontrol keterjangkauan titik akhir, tetapi bukan operasi apa yang dapat dilakukan pada entitas Service Bus (antrian, topik, atau langganan). Gunakan ID Microsoft Entra untuk mengotorisasi operasi yang dapat dilakukan aplikasi pada namespace layanan dan entitasnya. Untuk informasi selengkapnya, lihat Mengautentikasi dan mengotorisasi aplikasi dengan ID Microsoft Entra untuk mengakses entitas Bus Layanan.

Menggunakan portal Microsoft Azure

Saat membuat namespace layanan, Anda hanya dapat mengizinkan akses publik (dari semua jaringan) atau privat (hanya melalui titik akhir privat) ke namespace layanan. Setelah namespace dibuat, Anda dapat mengizinkan akses dari alamat IP tertentu atau dari jaringan virtual tertentu (menggunakan titik akhir layanan jaringan).

Mengonfigurasi akses publik saat membuat namespace

Untuk mengaktifkan akses publik, pilih Akses publik pada halaman Jaringan wizard pembuatan namespace.

Cuplikan layar memperlihatkan halaman Jaringan wizard Buat namespace dengan opsi Akses publik dipilih.

Setelah Anda membuat namespace layanan, pilih Jaringan di menu sebelah kiri halaman Bus Layanan Namespace. Anda melihat bahwa opsi Semua Jaringan dipilih. Anda dapat memilih opsi Jaringan yang Dipilih dan mengizinkan akses dari alamat IP tertentu atau jaringan virtual tertentu. Bagian berikutnya memberi Anda detail tentang menentukan jaringan tempat akses diizinkan.

Mengonfigurasi jaringan yang dipilih untuk namespace yang ada

Bagian ini memperlihatkan kepada Anda cara menggunakan portal Microsoft Azure untuk menambahkan titik akhir layanan jaringan virtual. Untuk membatasi akses, Anda perlu mengintegrasikan titik akhir layanan jaringan virtual untuk namespace Event Hub ini.

  1. Navigasikan ke namespace Service Bus di portal Microsoft Azure.

  2. Di menu sebelah kiri, pilih Opsi jaringan di bawah Pengaturan.

    Catatan

    Anda melihat tab Networking hanya untuk namespace premium.

  3. Pada halaman Jaringan, untuk Akses jaringan publik, Anda dapat mengatur salah satu dari tiga opsi berikut. Pilih opsi Jaringan yang dipilih untuk mengizinkan akses hanya dari alamat IP yang ditentukan.

    • Semua jaringan (default). Opsi ini memungkinkan akses publik dari semua jaringan menggunakan kunci akses. Jika Anda memilih opsi Semua jaringan, Azure Service Bus menerima koneksi dari semua alamat IP (menggunakan kunci akses). Pengaturan ini setara dengan aturan yang menerima rentang alamat IP 0.0.0.0/0.

      Cuplikan layar tab Jaringan dari namespace Bus Layanan dengan opsi default Semua jaringan dipilih.

    • Dinonaktifkan. Opsi ini menonaktifkan akses publik apa pun ke namespace layanan. Namespace hanya dapat diakses melalui titik akhir privat.

      Cuplikan layar yang memperlihatkan halaman Jaringan namespace layanan dengan akses publik dinonaktifkan.

      Pilih apakah Anda ingin mengizinkan layanan Microsoft tepercaya melewati firewall. Untuk daftar layanan Microsoft tepercaya untuk Azure Bus Layanan, lihat bagian Layanan Microsoft Tepercaya.

    • Jaringan yang dipilih. Opsi ini memungkinkan akses publik ke namespace layanan menggunakan kunci akses dari jaringan yang dipilih.

      Penting

      Jika Anda memilih Jaringan yang dipilih, tambahkan setidaknya satu aturan firewall IP atau jaringan virtual yang akan memiliki akses ke namespace. Pilih Nonaktif jika Anda ingin membatasi semua lalu lintas ke ruang nama ini melalui titik akhir privat saja.

  4. Untuk membatasi akses ke jaringan virtual tertentu, pilih opsi Jaringan terpilih jika belum dipilih.

  5. Di bagian Jaringan Virtual halaman, pilih +Tambahkan jaringan virtual yang sudah ada. Pilih + Buat jaringan virtual baru jika Anda ingin membuat jaringan virtual baru.

    Gambar yang menunjukkan pilihan tombol Add existing virtual network pada toolbar.

    Peringatan

    Jika Anda memilih opsi Jaringan terpilih dan tidak menambahkan setidaknya satu aturan firewall IP atau jaringan virtual di halaman ini, namespace dapat diakses melalui internet publik (menggunakan kunci akses).

  6. Pilih jaringan virtual dari daftar jaringan virtual, lalu pilih subnet. Anda harus mengaktifkan titik akhir layanan sebelum menambahkan jaringan virtual ke daftar. Jika titik akhir layanan tidak diaktifkan, portal akan meminta Anda untuk mengaktifkannya.

    Cuplikan layar memperlihatkan pemilihan jaringan virtual dan subnet.

  7. Anda akan melihat pesan sukses berikut ini setelah titik akhir layanan untuk subnet diaktifkan untuk Microsoft.ServiceBus. Pilih Tambahkan di bagian bawah halaman untuk menambahkan jaringan.

    Gambar memperlihatkan pesan keberhasilan mengaktifkan titik akhir layanan.

    Catatan

    Jika Anda tidak dapat mengaktifkan titik akhir layanan, Anda dapat mengabaikan titik akhir layanan jaringan virtual yang hilang menggunakan templat Resource Manager. Fungsionalitas ini tidak tersedia di portal.

  8. Pilih Simpan pada toolbar untuk menyimpan pengaturan. Tunggu beberapa menit hingga konfirmasi muncul di pemberitahuan portal. Tombol Simpan harus dinonaktifkan.

    Gambar yang menunjukkan titik akhir layanan jaringan disimpan.

    Catatan

    Untuk instruksi tentang mengizinkan akses dari alamat atau rentang IP tertentu, lihat Mengizinkan akses dari alamat atau rentang IP tertentu.

Layanan Microsoft Tepercaya

Saat Anda mengaktifkan pengaturan Izinkan layanan Microsoft terpercaya untuk melewati firewall ini, layanan berikut akan diberikan akses ke sumber daya Microsoft Azure Service Bus Anda.

Layanan tepercaya Skenario penggunaan yang didukung
Kisi Aktivitas Azure Izinkan Azure Event Grid mengirim acara ke antrean atau topik di namespace layanan Microsoft Azure Service Bus. Anda juga perlu melakukan langkah-langkah berikut:
  • Aktifkan identitas yang ditetapkan sistem untuk topik atau domain
  • Tambahkan identitas ke peran Pengirim Data Microsoft Azure Service Bus Azure pada rnamespace layanan Microsoft Azure Service Bus
  • Lalu, konfigurasikan langganan kejadian yang menggunakan antrian atau topik Microsoft Azure Service Bus sebagai titik akhir untuk menggunakan identitas yang ditetapkan sistem.

Untuk informasi selengkapnya, lihat Pengiriman acara dengan identitas terkelola
Azure Stream Analytics Memungkinkan pekerjaan Azure Stream Analytics menghasilkan data ke Bus Layanan antrean ke topik.

Penting: Pekerjaan Azure Stream Analytics harus dikonfigurasi untuk menggunakan identitas terkelola untuk mengakses namespace Bus Layanan. Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace Bus Layanan.

Azure IoT Hub Mengizinkan hub IoT untuk mengirim pesan ke antrean atau topik di namespace layanan Azure Service Bus Anda. Anda juga perlu melakukan langkah-langkah berikut:
Azure API Management

Layanan API Management memungkinkan Anda mengirim pesan ke antrean/topik Microsoft Azure Service Bus di namespace layanan Microsoft Azure Service Bus.
Azure IoT Central

Memungkinkan IoT Central mengekspor data ke antrean Bus Layanan atau topik di ruang nama Bus Layanan Anda. Anda juga perlu melakukan langkah-langkah berikut:

  • Aktifkan identitas yang ditetapkan sistem untuk aplikasi IoT Central Anda
  • Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace Bus Layanan.
  • Kemudian, konfigurasikan tujuan ekspor Bus Layanan di aplikasi IoT Central Anda untuk menggunakan autentikasi berbasis identitas.
Azure Digital Twins Memungkinkan Azure Digital Twins untuk keluarkan data untuk Bus Layanan topik di namespace Bus Layanan Anda. Anda juga perlu melakukan langkah-langkah berikut:

  • Aktifkan identitas yang ditetapkan sistem untuk instans Azure Digital Twins Anda.
  • Tambahkan identitas ke peran Pengirim Data Azure Service Bus pada namespace Bus Layanan.
  • Kemudian, konfigurasikan titik akhir Azure Digital Twins atau koneksi riwayat data Azure Digital Twins yang menggunakan identitas yang ditetapkan sistem untuk mengautentikasi. Untuk informasi selengkapnya tentang mengonfigurasi titik akhir dan rute peristiwa ke Bus Layanan sumber daya dari Azure Digital Twins, lihat Merutekan peristiwa Azure Digital Twins dan Membuat titik akhir di Azure Digital Twins.
Azure Monitor (Pengaturan Diagnostik dan Grup Aksi) Memungkinkan Azure Monitor mengirim informasi diagnostik dan pemberitahuan pemberitahuan ke Bus Layanan di namespace Bus Layanan Anda. Azure Monitor dapat membaca dari dan menulis data ke namespace Bus Layanan.
Azure Synapse Memungkinkan Azure Synapse tersambung ke bus layanan menggunakan Identitas Terkelola Ruang Kerja Synapse. Tambahkan peran Pengirim Data, Penerima, atau Pemilik Azure Bus Layanan ke identitas di namespace Bus Layanan.

Layanan tepercaya lainnya untuk Azure Bus Layanan dapat ditemukan di bawah ini:

  • Azure Data Explorer
  • Azure Health Data Services
  • Azure Arc
  • Azure Kubernetes
  • Pembelajaran Mesin Azure
  • Microsoft Purview
  • Microsoft Defender for Cloud
  • Hub Penyedia Azure

Gunakan templat Azure Resource Manager

Contoh templat Resource Manager berikut menambahkan aturan jaringan virtual ke namespace Service Bus yang ada. Untuk aturan jaringan, itu menentukan ID subnet dalam jaringan virtual.

ID adalah jalur Resource Manager yang sepenuhnya memenuhi syarat untuk subnet jaringan virtual. Misalnya, /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default untuk subnet default jaringan virtual.

Catatan

Nilai default dari defaultAction adalah Allow. Saat menambahkan aturan jaringan virtual atau firewall, tetapkan nilai defaultAction ke Deny.

Templat:

{
	"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
	"contentVersion": "1.0.0.0",
	"parameters": {
		"servicebusNamespaceName": {
			"type": "string",
			"metadata": {
				"description": "Name of the Service Bus namespace"
			}
		},
		"virtualNetworkName": {
			"type": "string",
			"metadata": {
				"description": "Name of the Virtual Network Rule"
			}
		},
		"subnetName": {
			"type": "string",
			"metadata": {
				"description": "Name of the Virtual Network Sub Net"
			}
		},
		"location": {
			"type": "string",
			"metadata": {
				"description": "Location for Namespace"
			}
		}
	},
	"variables": {
		"namespaceNetworkRuleSetName": "[concat(parameters('servicebusNamespaceName'), concat('/', 'default'))]",
		"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
	},
	"resources": [{
			"apiVersion": "2022-10-01-preview",
			"name": "[parameters('servicebusNamespaceName')]",
			"type": "Microsoft.ServiceBus/namespaces",
			"location": "[parameters('location')]",
			"sku": {
				"name": "Premium",
				"tier": "Premium",
				"capacity": 1
			},
			"properties": {
				"premiumMessagingPartitions": 1,
				"minimumTlsVersion": "1.2",
				"publicNetworkAccess": "Enabled",
				"disableLocalAuth": false,
				"zoneRedundant": true
			}
		},
		{
			"apiVersion": "2022-07-01",
			"name": "[parameters('virtualNetworkName')]",
			"location": "[parameters('location')]",
			"type": "Microsoft.Network/virtualNetworks",
			"properties": {
				"addressSpace": {
					"addressPrefixes": [
						"10.0.0.0/23"
					]
				},
				"subnets": [{
					"name": "[parameters('subnetName')]",
					"properties": {
						"addressPrefix": "10.0.0.0/23",
						"serviceEndpoints": [{
							"service": "Microsoft.ServiceBus"
						}]
					}
				}]
			}
		},
		{
			"apiVersion": "2022-10-01-preview",
			"name": "[variables('namespaceNetworkRuleSetName')]",
			"type": "Microsoft.ServiceBus/namespaces/networkruleset",
			"dependsOn": [
				"[concat('Microsoft.ServiceBus/namespaces/', parameters('servicebusNamespaceName'))]"
			],
			"properties": {
				"publicNetworkAccess": "Enabled",
				"defaultAction": "Deny",
				"virtualNetworkRules": [{
					"subnet": {
						"id": "[variables('subNetId')]"
					},
					"ignoreMissingVnetServiceEndpoint": false
				}],
				"ipRules": [],
				"trustedServiceAccessEnabled": false
			}
		}
	],
	"outputs": {}
}

Untuk menerapkan templat, ikuti instruksi untuk Azure Resource Manager.

Penting

Jika tidak ada IP dan aturan jaringan virtual, semua lalu lintas mengalir ke namespace bahkan jika Anda mengatur defaultAction ke deny. Namespace dapat diakses melalui internet umum (menggunakan kunci akses). Tentukan paling sedikit satu aturan IP atau aturan jaringan virtual untuk namespace yang mengizinkan lalu lintas hanya dari alamat IP atau subnet yang ditentukan dari jaringan virtual.

Gunakan Azure CLI

Gunakan az servicebus namespace network-rule-set perintah tambahkan, daftar, perbarui, dan hapus untuk mengelola aturan jaringan virtual untuk namespace Bus Layanan.

Menggunakan Azure PowerShell

Gunakan perintah Azure PowerShell berikut untuk menambahkan, mencantumkan, menghapus, memperbarui, dan menghapus aturan jaringan untuk namespace Bus Layanan.

Tindakan default dan akses jaringan publik

REST API

Nilai default defaultAction properti adalah Deny untuk API versi pratinjau 2021-01-01 dan sebelumnya. Namun, aturan tolak tidak diberlakukan kecuali Anda mengatur filter IP atau aturan jaringan virtual. Artinya, jika Anda tidak memiliki filter IP atau aturan jaringan virtual, itu diperlakukan sebagai Allow.

Dari API versi 2021-06-01-preview dan seterusnya, nilai default defaultAction properti adalah Allow, untuk secara akurat mencerminkan penegakan sisi layanan. Jika tindakan default diatur ke Deny, filter IP dan aturan jaringan virtual diberlakukan. Jika tindakan default diatur ke Allow, filter IP dan aturan jaringan virtual tidak diberlakukan. Layanan ini mengingat aturan saat Anda mematikannya dan kemudian kembali lagi.

Versi API 2021-06-01-preview dan seterusnya juga memperkenalkan properti baru bernama publicNetworkAccess. Jika diatur ke Disabled, operasi dibatasi hanya untuk tautan pribadi. Jika diatur ke Enabled, operasi diizinkan melalui internet publik.

Untuk informasi selengkapnya tentang properti ini, lihat Membuat atau Memperbarui Koneksi Titik Akhir Privat.

Catatan

Tidak ada pengaturan di atas yang melewati validasi klaim melalui SAS atau autentikasi Microsoft Entra. Pemeriksaan autentikasi selalu berjalan setelah layanan memvalidasi pemeriksaan jaringan yang dikonfigurasi oleh defaultAction, publicNetworkAccess, privateEndpointConnectionspengaturan.

Portal Azure

Portal Azure selalu menggunakan versi API terbaru untuk mendapatkan dan mengatur properti. Jika sebelumnya Anda telah mengonfigurasi namespace layanan Anda menggunakan pratinjau 2021-01-01 dan yang lebih lama dengan diatur ke Deny, dan menentukan filter IP nol dan aturan jaringan virtual, portal sebelumnya akan memeriksa Jaringan Yang Dipilih di halaman Jaringan namespace Anda.defaultAction Sekarang, ia memeriksa opsi Semua jaringan.

Cuplikan layar halaman Jaringan portal Azure. Opsi untuk mengizinkan akses dari Semua jaringan dipilih pada tab bagian Firewall dan jaringan virtual.

Konten terkait

Untuk informasi selengkapnya tentang jaringan virtual, lihat tautan berikut: