Consentire l'accesso agli spazi dei nomi Hub eventi di Azure da reti virtuali specifiche
L'integrazione di Hub eventi con gli endpoint del servizio della rete virtuale consente di proteggere l'accesso alle funzionalità di messaggistica da carichi di lavoro come macchine virtuali associate a reti virtuali, con il percorso del traffico di rete protetto a entrambe le estremità.
Dopo aver configurato l'associazione ad almeno un endpoint servizio della subnet di rete virtuale, lo spazio dei nomi di Hub eventi corrispondente non accetta più il traffico da qualsiasi posizione ma subnet autorizzate nelle reti virtuali. Dal punto di vista della rete virtuale, l'associazione di uno spazio dei nomi di Hub eventi a un endpoint del servizio consente di configurare un tunnel di rete isolato dalla subnet della rete virtuale al servizio di messaggistica.
Il risultato è una relazione privata e isolata tra i carichi di lavoro associati alla subnet e lo spazio dei nomi di Hub eventi corrispondente, nonostante l'indirizzo di rete osservabile dell'endpoint del servizio di messaggistica sia in un intervallo di IP pubblici. C'è un'eccezione a questo comportamento. L'abilitazione di un endpoint di servizio, per impostazione predefinita, abilita la denyall
regola nel firewall IP associato alla rete virtuale. È possibile aggiungere indirizzi IP specifici nel firewall IP per abilitare l'accesso all'endpoint pubblico di Hub eventi.
Aspetti importanti
- Questa funzionalità non è supportata nel livello basic .
- L'abilitazione delle reti virtuali per lo spazio dei nomi di Hub eventi blocca le richieste in ingresso per impostazione predefinita, a meno che le richieste provengano da un servizio che opera da reti virtuali consentite. Le richieste che vengono bloccate sono quelle che provengono da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via. Ad eccezione, è possibile consentire l'accesso alle risorse di Hub eventi da determinati servizi attendibili anche quando sono abilitate le reti virtuali. Per un elenco dei servizi attendibili, vedere Servizi attendibili.
- Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale. Se non sono presenti regole di rete virtuale e IP, è possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso).
Scenari di sicurezza avanzati resi possibili dall'integrazione della rete virtuale
Le soluzioni che richiedono sicurezza stretta e compartimentata e in cui le subnet di rete virtuale forniscono la segmentazione tra i servizi compartimentati, richiedono comunque percorsi di comunicazione tra i servizi che risiedono in tali raggruppamenti.
Qualsiasi route IP immediata tra i compartimenti, incluse quelle destinate al traffico HTTPS su TCP/IP, comportano il rischio di sfruttamento delle vulnerabilità dal livello rete verso l'alto. I servizi di messaggistica forniscono percorsi di comunicazione isolati, in cui i messaggi vengono scritti su disco anche durante la transizione tra le parti. I carichi di lavoro in due reti virtuali distinte associate alla stessa istanza di Hub eventi possono comunicare in modo efficiente e affidabile tramite messaggi, pur mantenendo l'integrità del confine di isolamento rete.
Questo significa che le soluzioni cloud con requisiti di sicurezza elevati non solo possono ottenere l'accesso alle funzionalità di messaggistica asincrona scalabili e affidabili leader del settore di Azure, ma possono ora usare la messaggistica per creare percorsi di comunicazione tra compartimenti sicuri della soluzione, intrinsecamente più sicuri di quanto sia possibile con qualsiasi modalità di comunicazione peer-to-peer, inclusi i protocolli HTTPS e altri protocolli socket protetti da TLS.
Associare hub eventi a reti virtuali
Le regole di rete virtuale rappresentano la funzionalità di sicurezza firewall che controlla se lo spazio dei nomi di Hub eventi di Azure accetta le connessioni da una specifica subnet della rete virtuale.
L'associazione di uno spazio dei nomi di Hub eventi a una rete virtuale è un processo in due passaggi. È prima necessario creare un endpoint servizio di rete virtuale nella subnet di una rete virtuale e abilitarlo per Microsoft.EventHub, come illustrato nell'articolo panoramica dell'endpoint di servizio. Dopo aver aggiunto l'endpoint del servizio, lo spazio dei nomi di Hub eventi viene associato a esso con una regola di rete virtuale.
La regola di rete virtuale è un'associazione dello spazio dei nomi di Hub eventi e una subnet della rete virtuale. Fino a quando esiste la regola, a tutti i carichi di lavoro associati alla subnet viene concesso l'accesso allo spazio dei nomi di Hub eventi. Hub eventi non stabilisce mai connessioni in uscita, non deve ottenere l'accesso e non ha quindi mai concesso l'accesso alla subnet abilitando questa regola.
Usare il portale di Azure
Quando si crea uno spazio dei nomi, è possibile consentire l'accesso solo pubblico (da tutte le reti) o privato (solo tramite endpoint privati) allo spazio dei nomi. Dopo aver creato lo spazio dei nomi, è possibile consentire l'accesso da indirizzi IP specifici o da reti virtuali specifiche (usando gli endpoint servizio di rete).
Configurare l'accesso pubblico durante la creazione di uno spazio dei nomi
Per abilitare l'accesso pubblico, selezionare Accesso pubblico nella pagina Rete della creazione guidata dello spazio dei nomi.
Dopo aver creato lo spazio dei nomi, selezionare Rete nel menu a sinistra della pagina spazio dei nomi bus di servizio. Si noterà che l'opzione Tutte le reti è selezionata. È possibile selezionare l'opzione Reti selezionate e consentire l'accesso da indirizzi IP specifici o reti virtuali specifiche. La sezione successiva fornisce informazioni dettagliate su come specificare le reti da cui è consentito l'accesso.
Configurare le reti selezionate per uno spazio dei nomi esistente
Questa sezione illustra come usare portale di Azure per aggiungere un endpoint servizio di rete virtuale. Per limitare l'accesso, è necessario integrare l'endpoint del servizio di rete virtuale per questo spazio dei nomi di Hub eventi.
Passare allo spazio dei nomi di Hub eventi nel portale di Azure.
Selezionare Rete in Impostazioni nel menu a sinistra.
Nella pagina Rete , per Accesso alla rete pubblica, è possibile impostare una delle tre opzioni seguenti. Scegliere l'opzione Reti selezionate per consentire l'accesso solo da reti virtuali specifiche.
Di seguito sono riportati altri dettagli sulle opzioni disponibili nella pagina Accesso alla rete pubblica:
Disabilitati. Questa opzione disabilita qualsiasi accesso pubblico allo spazio dei nomi. Lo spazio dei nomi è accessibile solo tramite endpoint privati.
Reti selezionate. Questa opzione consente l'accesso pubblico allo spazio dei nomi usando una chiave di accesso dalle reti selezionate.
Importante
Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo su endpoint privati.
Tutte le reti (impostazione predefinita). Questa opzione abilita l'accesso pubblico da tutte le reti usando una chiave di accesso. Se si seleziona l'opzione Tutte le reti , l'hub eventi accetta connessioni da qualsiasi indirizzo IP (usando la chiave di accesso). Questa impostazione equivale a una regola che accetti l'intervallo di indirizzi IP 0.0.0.0/0.
Per limitare l'accesso a reti specifiche, scegliere l'opzione Reti selezionate nella parte superiore della pagina, se non è già selezionata.
Nella sezione Reti virtuali della pagina selezionare +Aggiungi rete virtuale esistente*. Selezionare + Crea nuova rete virtuale se si vuole creare una nuova rete virtuale.
Importante
Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo su endpoint privati.
Selezionare la rete virtuale dall'elenco delle reti virtuali e quindi selezionare la subnet. È necessario abilitare l'endpoint di servizio prima di aggiungere la rete virtuale all'elenco. Se l'endpoint di servizio non è abilitato, il portale richiede di abilitarlo.
Verrà visualizzato il messaggio seguente dopo l'abilitazione dell'endpoint di servizio per la subnet per Microsoft.EventHub. Selezionare Aggiungi nella parte inferiore della pagina per aggiungere la rete.
Nota
Se non è possibile abilitare l'endpoint di servizio, è possibile ignorare l'endpoint del servizio di rete virtuale mancante usando il modello di Resource Manager. Questa funzionalità non è disponibile sul portale.
Specificare se si vuole consentire ai servizi Microsoft attendibili di ignorare il firewall. Per informazioni dettagliate, vedere Servizi Microsoft attendibili.
Selezionare Salva sulla barra degli strumenti per salvare le impostazioni. Attendere qualche minuto la visualizzazione della conferma tra le notifiche del portale.
Nota
Per limitare l'accesso a specifici indirizzi IP o intervalli, vedere Consentire l'accesso da indirizzi IP o intervalli specifici.
Servizi Microsoft attendibili
Quando si abilita l'impostazione Consenti alle servizi Microsoft attendibili di ignorare questo firewall, ai servizi seguenti all'interno dello stesso tenant viene concesso l'accesso alle risorse di Hub eventi.
Servizio attendibile | Scenari di utilizzo supportati |
---|---|
Griglia di eventi di Azure | Consente Griglia di eventi di Azure di inviare eventi agli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:
Per altre informazioni, vedere Recapito di eventi con un'identità gestita |
Analisi di flusso di Azure | Consente a un processo di Analisi di flusso di Azure di leggere i dati da (input) o scrivere dati in hub eventi (output) nello spazio dei nomi di Hub eventi. Importante: il processo di Analisi di flusso deve essere configurato per usare un'identità gestita per accedere all'hub eventi. Per altre informazioni, vedere Usare le identità gestite per accedere all'hub eventi da un processo di Analisi di flusso di Azure (anteprima). |
Hub IoT di Azure | Consente hub IoT di inviare messaggi agli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:
|
Gestione API di Azure | Il servizio Gestione API consente di inviare eventi a un hub eventi nello spazio dei nomi di Hub eventi.
|
Monitoraggio di Azure (Impostazioni di diagnostica e gruppi di azioni) | Consente a Monitoraggio di Azure di inviare informazioni di diagnostica e notifiche di avviso agli hub eventi nello spazio dei nomi di Hub eventi. Monitoraggio di Azure può leggere dall'hub eventi e scrivere dati anche nell'hub eventi. |
Azure Synapse | Consente ad Azure Synapse di connettersi all'hub eventi usando l'identità gestita dell'area di lavoro di Synapse. Aggiungere il ruolo Mittente dati, Destinatario o Proprietario Hub eventi di Azure all'identità nello spazio dei nomi di Hub eventi. |
Esplora dati di Azure | Consente ad Azure Esplora dati di ricevere eventi dall'hub eventi usando l'identità gestita del cluster. È necessario eseguire i passaggi seguenti:
|
Azure IoT Central | Consente a IoT Central di esportare i dati negli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:
|
Servizi per i dati sanitari di Azure | Consente alle API sanitarie il connettore IoT di inserire i dati dei dispositivi medici dallo spazio dei nomi di Hub eventi e rendere persistenti i dati nel servizio FHIR® (Fast Healthcare Interoperability Resources) configurato. Il connettore IoT deve essere configurato per usare un'identità gestita per accedere all'hub eventi. Per altre informazioni, vedere Introduzione al connettore IoT - API per il settore sanitario di Azure. |
Gemelli digitali di Azure | Consente a Gemelli digitali di Azure di eseguire l'uscita dei dati negli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:
|
Gli altri servizi attendibili per Hub eventi di Azure sono disponibili di seguito:
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
Usare i modelli di Resource Manager
Il modello di Resource Manager di esempio seguente aggiunge una regola di rete virtuale a uno spazio dei nomi di Hub eventi esistente. Per la regola di rete, specifica l'ID di una subnet in una rete virtuale.
L'ID è un percorso di Resource Manager completo per la subnet della rete virtuale. Ad esempio, /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default
per la subnet predefinita di una rete virtuale.
Quando si aggiungono regole di rete virtuale o firewall, impostare il valore di defaultAction
su Deny
.
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"eventhubNamespaceName": {
"type": "string",
"metadata": {
"description": "Name of the Event Hubs namespace"
}
},
"virtualNetworkName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Rule"
}
},
"subnetName": {
"type": "string",
"metadata": {
"description": "Name of the Virtual Network Sub Net"
}
},
"location": {
"type": "string",
"metadata": {
"description": "Location for Namespace"
}
}
},
"variables": {
"namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
"subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
},
"resources": [
{
"apiVersion": "2018-01-01-preview",
"name": "[parameters('eventhubNamespaceName')]",
"type": "Microsoft.EventHub/namespaces",
"location": "[parameters('location')]",
"sku": {
"name": "Standard",
"tier": "Standard"
},
"properties": { }
},
{
"apiVersion": "2017-09-01",
"name": "[parameters('virtualNetworkName')]",
"location": "[parameters('location')]",
"type": "Microsoft.Network/virtualNetworks",
"properties": {
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/23"
]
},
"subnets": [
{
"name": "[parameters('subnetName')]",
"properties": {
"addressPrefix": "10.0.0.0/23",
"serviceEndpoints": [
{
"service": "Microsoft.EventHub"
}
]
}
}
]
}
},
{
"apiVersion": "2018-01-01-preview",
"name": "[variables('namespaceNetworkRuleSetName')]",
"type": "Microsoft.EventHub/namespaces/networkruleset",
"dependsOn": [
"[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules":
[
{
"subnet": {
"id": "[variables('subNetId')]"
},
"ignoreMissingVnetServiceEndpoint": false
}
],
"ipRules":[],
"trustedServiceAccessEnabled": false
}
}
],
"outputs": { }
}
Per distribuire il modello, seguire le istruzioni per Azure Resource Manager.
Importante
Se non sono presenti regole di rete virtuale e IP, tutto il traffico passa allo spazio dei nomi anche se si imposta su defaultAction
deny
. È possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso). Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale.
Utilizzare l'interfaccia della riga di comando di Azure
Usare az eventhubs namespace network-rule-set
i comandi add, list, update e remove per gestire le regole di rete virtuale per uno spazio dei nomi bus di servizio.
Usare Azure PowerShell
Usare i comandi di Azure PowerShell seguenti per aggiungere, elencare, rimuovere, aggiornare ed eliminare regole di rete per uno spazio dei nomi bus di servizio.
Add-AzEventHubVirtualNetworkRule
per aggiungere una regola di rete virtuale.New-AzEventHubVirtualNetworkRuleConfig
eSet-AzEventHubNetworkRuleSet
insieme per aggiungere una regola di rete virtuale.Remove-AzEventHubVirtualNetworkRule
per rimuovere la regola di rete virtuale.
azione predefinita e accesso alla rete pubblica
REST API
Il valore predefinito della proprietà era Deny
per l'API defaultAction
versione 2021-01-01-preview e versioni precedenti. Tuttavia, la regola di negazione non viene applicata a meno che non si impostino i filtri IP o le regole della rete virtuale. Ciò significa che, se non si dispone di filtri IP o regole di rete virtuale, viene considerato come Allow
.
A partire dalla versione API 2021-06-01-preview, il valore predefinito della defaultAction
proprietà è Allow
, per riflettere in modo accurato l'imposizione sul lato servizio. Se l'azione predefinita è impostata su Deny
, vengono applicati i filtri IP e le regole della rete virtuale. Se l'azione predefinita è impostata su Allow
, i filtri IP e le regole della rete virtuale non vengono applicati. Il servizio memorizza le regole quando vengono disattivate e quindi riattivate.
L'API versione 2021-06-01-preview introduce anche una nuova proprietà denominata publicNetworkAccess
. Se è impostato su Disabled
, le operazioni sono limitate solo ai collegamenti privati. Se è impostato su Enabled
, le operazioni sono consentite su Internet pubblico.
Per altre informazioni su queste proprietà, vedere Creare o aggiornare il set di regole di rete e Creare o aggiornare le Connessione dell'endpoint privato.
Nota
Nessuna delle impostazioni precedenti ignora la convalida delle attestazioni tramite firma di accesso condiviso o l'autenticazione di Microsoft Entra. Il controllo di autenticazione viene sempre eseguito dopo che il servizio convalida i controlli di rete configurati dalle defaultAction
impostazioni , publicNetworkAccess
, privateEndpointConnections
.
Azure portal
portale di Azure usa sempre la versione più recente dell'API per ottenere e impostare le proprietà. Se lo spazio dei nomi è stato configurato in precedenza usando 2021-01-01-preview e versioni precedenti con impostato su Deny
e le regole zero IP e reti virtuali specificate, il portale avrebbe precedentemente selezionato Reti selezionate nella pagina Rete dello spazio dei nomi.defaultAction
Ora controlla l'opzione Tutte le reti .
Passaggi successivi
Per altre informazioni sulle reti virtuali, vedere i collegamenti seguenti:
- Endpoint servizio di rete virtuale di Azure
- Azure Event Hubs IP filtering (Filtri IP per Hub eventi di Azure)