Condividi tramite


Consentire l'accesso agli spazi dei nomi Hub eventi di Azure da reti virtuali specifiche

L'integrazione di Hub eventi con gli endpoint del servizio della rete virtuale consente di proteggere l'accesso alle funzionalità di messaggistica da carichi di lavoro come macchine virtuali associate a reti virtuali, con il percorso del traffico di rete protetto a entrambe le estremità.

Dopo aver configurato l'associazione ad almeno un endpoint servizio della subnet di rete virtuale, lo spazio dei nomi di Hub eventi corrispondente non accetta più il traffico da qualsiasi posizione ma subnet autorizzate nelle reti virtuali. Dal punto di vista della rete virtuale, l'associazione di uno spazio dei nomi di Hub eventi a un endpoint del servizio consente di configurare un tunnel di rete isolato dalla subnet della rete virtuale al servizio di messaggistica.

Il risultato è una relazione privata e isolata tra i carichi di lavoro associati alla subnet e lo spazio dei nomi di Hub eventi corrispondente, nonostante l'indirizzo di rete osservabile dell'endpoint del servizio di messaggistica sia in un intervallo di IP pubblici. C'è un'eccezione a questo comportamento. L'abilitazione di un endpoint di servizio, per impostazione predefinita, abilita la denyall regola nel firewall IP associato alla rete virtuale. È possibile aggiungere indirizzi IP specifici nel firewall IP per abilitare l'accesso all'endpoint pubblico di Hub eventi.

Aspetti importanti

  • Questa funzionalità non è supportata nel livello basic .
  • L'abilitazione delle reti virtuali per lo spazio dei nomi di Hub eventi blocca le richieste in ingresso per impostazione predefinita, a meno che le richieste provengano da un servizio che opera da reti virtuali consentite. Le richieste che vengono bloccate sono quelle che provengono da altri servizi di Azure, dal portale di Azure, dai servizi di registrazione e metriche e così via. Ad eccezione, è possibile consentire l'accesso alle risorse di Hub eventi da determinati servizi attendibili anche quando sono abilitate le reti virtuali. Per un elenco dei servizi attendibili, vedere Servizi attendibili.
  • Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale. Se non sono presenti regole di rete virtuale e IP, è possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso).

Scenari di sicurezza avanzati resi possibili dall'integrazione della rete virtuale

Le soluzioni che richiedono sicurezza stretta e compartimentata e in cui le subnet di rete virtuale forniscono la segmentazione tra i servizi compartimentati, richiedono comunque percorsi di comunicazione tra i servizi che risiedono in tali raggruppamenti.

Qualsiasi route IP immediata tra i compartimenti, incluse quelle destinate al traffico HTTPS su TCP/IP, comportano il rischio di sfruttamento delle vulnerabilità dal livello rete verso l'alto. I servizi di messaggistica forniscono percorsi di comunicazione isolati, in cui i messaggi vengono scritti su disco anche durante la transizione tra le parti. I carichi di lavoro in due reti virtuali distinte associate alla stessa istanza di Hub eventi possono comunicare in modo efficiente e affidabile tramite messaggi, pur mantenendo l'integrità del confine di isolamento rete.

Questo significa che le soluzioni cloud con requisiti di sicurezza elevati non solo possono ottenere l'accesso alle funzionalità di messaggistica asincrona scalabili e affidabili leader del settore di Azure, ma possono ora usare la messaggistica per creare percorsi di comunicazione tra compartimenti sicuri della soluzione, intrinsecamente più sicuri di quanto sia possibile con qualsiasi modalità di comunicazione peer-to-peer, inclusi i protocolli HTTPS e altri protocolli socket protetti da TLS.

Associare hub eventi a reti virtuali

Le regole di rete virtuale rappresentano la funzionalità di sicurezza firewall che controlla se lo spazio dei nomi di Hub eventi di Azure accetta le connessioni da una specifica subnet della rete virtuale.

L'associazione di uno spazio dei nomi di Hub eventi a una rete virtuale è un processo in due passaggi. È prima necessario creare un endpoint servizio di rete virtuale nella subnet di una rete virtuale e abilitarlo per Microsoft.EventHub, come illustrato nell'articolo panoramica dell'endpoint di servizio. Dopo aver aggiunto l'endpoint del servizio, lo spazio dei nomi di Hub eventi viene associato a esso con una regola di rete virtuale.

La regola di rete virtuale è un'associazione dello spazio dei nomi di Hub eventi e una subnet della rete virtuale. Fino a quando esiste la regola, a tutti i carichi di lavoro associati alla subnet viene concesso l'accesso allo spazio dei nomi di Hub eventi. Hub eventi non stabilisce mai connessioni in uscita, non deve ottenere l'accesso e non ha quindi mai concesso l'accesso alla subnet abilitando questa regola.

Usare il portale di Azure

Quando si crea uno spazio dei nomi, è possibile consentire l'accesso solo pubblico (da tutte le reti) o privato (solo tramite endpoint privati) allo spazio dei nomi. Dopo aver creato lo spazio dei nomi, è possibile consentire l'accesso da indirizzi IP specifici o da reti virtuali specifiche (usando gli endpoint servizio di rete).

Configurare l'accesso pubblico durante la creazione di uno spazio dei nomi

Per abilitare l'accesso pubblico, selezionare Accesso pubblico nella pagina Rete della creazione guidata dello spazio dei nomi.

Screenshot showing the Networking page of the Create namespace wizard with Public access option selected.

Dopo aver creato lo spazio dei nomi, selezionare Rete nel menu a sinistra della pagina spazio dei nomi bus di servizio. Si noterà che l'opzione Tutte le reti è selezionata. È possibile selezionare l'opzione Reti selezionate e consentire l'accesso da indirizzi IP specifici o reti virtuali specifiche. La sezione successiva fornisce informazioni dettagliate su come specificare le reti da cui è consentito l'accesso.

Configurare le reti selezionate per uno spazio dei nomi esistente

Questa sezione illustra come usare portale di Azure per aggiungere un endpoint servizio di rete virtuale. Per limitare l'accesso, è necessario integrare l'endpoint del servizio di rete virtuale per questo spazio dei nomi di Hub eventi.

  1. Passare allo spazio dei nomi di Hub eventi nel portale di Azure.

  2. Selezionare Rete in Impostazioni nel menu a sinistra.

  3. Nella pagina Rete , per Accesso alla rete pubblica, è possibile impostare una delle tre opzioni seguenti. Scegliere l'opzione Reti selezionate per consentire l'accesso solo da reti virtuali specifiche.

    Di seguito sono riportati altri dettagli sulle opzioni disponibili nella pagina Accesso alla rete pubblica:

    • Disabilitati. Questa opzione disabilita qualsiasi accesso pubblico allo spazio dei nomi. Lo spazio dei nomi è accessibile solo tramite endpoint privati.

    • Reti selezionate. Questa opzione consente l'accesso pubblico allo spazio dei nomi usando una chiave di accesso dalle reti selezionate.

      Importante

      Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo su endpoint privati.

    • Tutte le reti (impostazione predefinita). Questa opzione abilita l'accesso pubblico da tutte le reti usando una chiave di accesso. Se si seleziona l'opzione Tutte le reti , l'hub eventi accetta connessioni da qualsiasi indirizzo IP (usando la chiave di accesso). Questa impostazione equivale a una regola che accetti l'intervallo di indirizzi IP 0.0.0.0/0.

  4. Per limitare l'accesso a reti specifiche, scegliere l'opzione Reti selezionate nella parte superiore della pagina, se non è già selezionata.

  5. Nella sezione Reti virtuali della pagina selezionare +Aggiungi rete virtuale esistente*. Selezionare + Crea nuova rete virtuale se si vuole creare una nuova rete virtuale.

    Selection of Add existing virtual network menu item.

    Importante

    Se si sceglie Reti selezionate, aggiungere almeno una regola del firewall IP o una rete virtuale che avrà accesso allo spazio dei nomi. Scegliere Disabilitato se si vuole limitare tutto il traffico a questo spazio dei nomi solo su endpoint privati.

  6. Selezionare la rete virtuale dall'elenco delle reti virtuali e quindi selezionare la subnet. È necessario abilitare l'endpoint di servizio prima di aggiungere la rete virtuale all'elenco. Se l'endpoint di servizio non è abilitato, il portale richiede di abilitarlo.

    Image showing the selection of a subnet.

  7. Verrà visualizzato il messaggio seguente dopo l'abilitazione dell'endpoint di servizio per la subnet per Microsoft.EventHub. Selezionare Aggiungi nella parte inferiore della pagina per aggiungere la rete.

    Image showing the selection of a subnet and enabling an endpoint.

    Nota

    Se non è possibile abilitare l'endpoint di servizio, è possibile ignorare l'endpoint del servizio di rete virtuale mancante usando il modello di Resource Manager. Questa funzionalità non è disponibile sul portale.

  8. Specificare se si vuole consentire ai servizi Microsoft attendibili di ignorare il firewall. Per informazioni dettagliate, vedere Servizi Microsoft attendibili.

  9. Selezionare Salva sulla barra degli strumenti per salvare le impostazioni. Attendere qualche minuto la visualizzazione della conferma tra le notifiche del portale.

    Image showing the saving of virtual network.

    Nota

    Per limitare l'accesso a specifici indirizzi IP o intervalli, vedere Consentire l'accesso da indirizzi IP o intervalli specifici.

Servizi Microsoft attendibili

Quando si abilita l'impostazione Consenti alle servizi Microsoft attendibili di ignorare questo firewall, ai servizi seguenti all'interno dello stesso tenant viene concesso l'accesso alle risorse di Hub eventi.

Servizio attendibile Scenari di utilizzo supportati
Griglia di eventi di Azure Consente Griglia di eventi di Azure di inviare eventi agli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:
  • Abilitare l'identità assegnata dal sistema per un argomento o un dominio
  • Aggiungere l'identità al ruolo Mittente dati Hub eventi di Azure nello spazio dei nomi di Hub eventi
  • Configurare quindi la sottoscrizione di eventi che usa un hub eventi come endpoint per usare l'identità assegnata dal sistema.

Per altre informazioni, vedere Recapito di eventi con un'identità gestita

Analisi di flusso di Azure Consente a un processo di Analisi di flusso di Azure di leggere i dati da (input) o scrivere dati in hub eventi (output) nello spazio dei nomi di Hub eventi.

Importante: il processo di Analisi di flusso deve essere configurato per usare un'identità gestita per accedere all'hub eventi. Per altre informazioni, vedere Usare le identità gestite per accedere all'hub eventi da un processo di Analisi di flusso di Azure (anteprima).

Hub IoT di Azure Consente hub IoT di inviare messaggi agli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:
  • Abilitare l'identità assegnata dal sistema per l'hub IoT
  • Aggiungere l'identità al ruolo Mittente dati Hub eventi di Azure nello spazio dei nomi di Hub eventi.
  • Configurare quindi il hub IoT che usa un hub eventi come endpoint personalizzato per l'uso dell'autenticazione basata sull'identità.
Gestione API di Azure

Il servizio Gestione API consente di inviare eventi a un hub eventi nello spazio dei nomi di Hub eventi.

Monitoraggio di Azure (Impostazioni di diagnostica e gruppi di azioni) Consente a Monitoraggio di Azure di inviare informazioni di diagnostica e notifiche di avviso agli hub eventi nello spazio dei nomi di Hub eventi. Monitoraggio di Azure può leggere dall'hub eventi e scrivere dati anche nell'hub eventi.
Azure Synapse Consente ad Azure Synapse di connettersi all'hub eventi usando l'identità gestita dell'area di lavoro di Synapse. Aggiungere il ruolo Mittente dati, Destinatario o Proprietario Hub eventi di Azure all'identità nello spazio dei nomi di Hub eventi.
Esplora dati di Azure Consente ad Azure Esplora dati di ricevere eventi dall'hub eventi usando l'identità gestita del cluster. È necessario eseguire i passaggi seguenti:
  • Configurare l'identità gestita in Azure Esplora dati
  • Concedere il ruolo Hub eventi di Azure Ricevitore dati all'identità nell'hub eventi.
 
Azure IoT Central

Consente a IoT Central di esportare i dati negli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:

  • Abilitare l'identità assegnata dal sistema per l'applicazione IoT Central.
  • Aggiungere l'identità al ruolo Mittente dati Hub eventi di Azure nello spazio dei nomi di Hub eventi.
  • Configurare quindi la destinazione di esportazione di Hub eventi nell'applicazione IoT Central per usare l'autenticazione basata su identità.
Servizi per i dati sanitari di Azure Consente alle API sanitarie il connettore IoT di inserire i dati dei dispositivi medici dallo spazio dei nomi di Hub eventi e rendere persistenti i dati nel servizio FHIR® (Fast Healthcare Interoperability Resources) configurato. Il connettore IoT deve essere configurato per usare un'identità gestita per accedere all'hub eventi. Per altre informazioni, vedere Introduzione al connettore IoT - API per il settore sanitario di Azure.
Gemelli digitali di Azure Consente a Gemelli digitali di Azure di eseguire l'uscita dei dati negli hub eventi nello spazio dei nomi di Hub eventi. È anche necessario eseguire i passaggi seguenti:

  • Abilitare l'identità assegnata dal sistema per l'istanza di Gemelli digitali di Azure.
  • Aggiungere l'identità al ruolo Mittente dati Hub eventi di Azure nello spazio dei nomi di Hub eventi.
  • Configurare quindi un endpoint di Gemelli digitali di Azure o una connessione alla cronologia dei dati di Gemelli digitali di Azure che usa l'identità assegnata dal sistema per l'autenticazione. Per altre informazioni sulla configurazione di endpoint e route di eventi alle risorse di Hub eventi da Gemelli digitali di Azure, vedere Instradare gli eventi di Gemelli digitali di Azure e Creare endpoint in Gemelli digitali di Azure.

Gli altri servizi attendibili per Hub eventi di Azure sono disponibili di seguito:

  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview

Usare i modelli di Resource Manager

Il modello di Resource Manager di esempio seguente aggiunge una regola di rete virtuale a uno spazio dei nomi di Hub eventi esistente. Per la regola di rete, specifica l'ID di una subnet in una rete virtuale.

L'ID è un percorso di Resource Manager completo per la subnet della rete virtuale. Ad esempio, /subscriptions/{id}/resourceGroups/{rg}/providers/Microsoft.Network/virtualNetworks/{vnet}/subnets/default per la subnet predefinita di una rete virtuale.

Quando si aggiungono regole di rete virtuale o firewall, impostare il valore di defaultAction su Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
      "eventhubNamespaceName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Event Hubs namespace"
        }
      },
      "virtualNetworkName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Rule"
        }
      },
      "subnetName": {
        "type": "string",
        "metadata": {
          "description": "Name of the Virtual Network Sub Net"
        }
      },
      "location": {
        "type": "string",
        "metadata": {
          "description": "Location for Namespace"
        }
      }
    },
    "variables": {
      "namespaceNetworkRuleSetName": "[concat(parameters('eventhubNamespaceName'), concat('/', 'default'))]",
      "subNetId": "[resourceId('Microsoft.Network/virtualNetworks/subnets/', parameters('virtualNetworkName'), parameters('subnetName'))]"
    },
    "resources": [
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[parameters('eventhubNamespaceName')]",
        "type": "Microsoft.EventHub/namespaces",
        "location": "[parameters('location')]",
        "sku": {
          "name": "Standard",
          "tier": "Standard"
        },
        "properties": { }
      },
      {
        "apiVersion": "2017-09-01",
        "name": "[parameters('virtualNetworkName')]",
        "location": "[parameters('location')]",
        "type": "Microsoft.Network/virtualNetworks",
        "properties": {
          "addressSpace": {
            "addressPrefixes": [
              "10.0.0.0/23"
            ]
          },
          "subnets": [
            {
              "name": "[parameters('subnetName')]",
              "properties": {
                "addressPrefix": "10.0.0.0/23",
                "serviceEndpoints": [
                  {
                    "service": "Microsoft.EventHub"
                  }
                ]
              }
            }
          ]
        }
      },
      {
        "apiVersion": "2018-01-01-preview",
        "name": "[variables('namespaceNetworkRuleSetName')]",
        "type": "Microsoft.EventHub/namespaces/networkruleset",
        "dependsOn": [
          "[concat('Microsoft.EventHub/namespaces/', parameters('eventhubNamespaceName'))]"
        ],
        "properties": {
          "publicNetworkAccess": "Enabled",
          "defaultAction": "Deny",
          "virtualNetworkRules": 
          [
            {
              "subnet": {
                "id": "[variables('subNetId')]"
              },
              "ignoreMissingVnetServiceEndpoint": false
            }
          ],
          "ipRules":[],
          "trustedServiceAccessEnabled": false
        }
      }
    ],
    "outputs": { }
  }

Per distribuire il modello, seguire le istruzioni per Azure Resource Manager.

Importante

Se non sono presenti regole di rete virtuale e IP, tutto il traffico passa allo spazio dei nomi anche se si imposta su defaultAction deny. È possibile accedere allo spazio dei nomi tramite Internet pubblico (usando la chiave di accesso). Specificare almeno una regola IP o una regola di rete virtuale per lo spazio dei nomi per consentire il traffico solo dagli indirizzi IP o dalla subnet specificati di una rete virtuale.

Utilizzare l'interfaccia della riga di comando di Azure

Usare az eventhubs namespace network-rule-set i comandi add, list, update e remove per gestire le regole di rete virtuale per uno spazio dei nomi bus di servizio.

Usare Azure PowerShell

Usare i comandi di Azure PowerShell seguenti per aggiungere, elencare, rimuovere, aggiornare ed eliminare regole di rete per uno spazio dei nomi bus di servizio.

azione predefinita e accesso alla rete pubblica

REST API

Il valore predefinito della proprietà era Deny per l'API defaultAction versione 2021-01-01-preview e versioni precedenti. Tuttavia, la regola di negazione non viene applicata a meno che non si impostino i filtri IP o le regole della rete virtuale. Ciò significa che, se non si dispone di filtri IP o regole di rete virtuale, viene considerato come Allow.

A partire dalla versione API 2021-06-01-preview, il valore predefinito della defaultAction proprietà è Allow, per riflettere in modo accurato l'imposizione sul lato servizio. Se l'azione predefinita è impostata su Deny, vengono applicati i filtri IP e le regole della rete virtuale. Se l'azione predefinita è impostata su Allow, i filtri IP e le regole della rete virtuale non vengono applicati. Il servizio memorizza le regole quando vengono disattivate e quindi riattivate.

L'API versione 2021-06-01-preview introduce anche una nuova proprietà denominata publicNetworkAccess. Se è impostato su Disabled, le operazioni sono limitate solo ai collegamenti privati. Se è impostato su Enabled, le operazioni sono consentite su Internet pubblico.

Per altre informazioni su queste proprietà, vedere Creare o aggiornare il set di regole di rete e Creare o aggiornare le Connessione dell'endpoint privato.

Nota

Nessuna delle impostazioni precedenti ignora la convalida delle attestazioni tramite firma di accesso condiviso o l'autenticazione di Microsoft Entra. Il controllo di autenticazione viene sempre eseguito dopo che il servizio convalida i controlli di rete configurati dalle defaultActionimpostazioni , publicNetworkAccess, privateEndpointConnections .

Azure portal

portale di Azure usa sempre la versione più recente dell'API per ottenere e impostare le proprietà. Se lo spazio dei nomi è stato configurato in precedenza usando 2021-01-01-preview e versioni precedenti con impostato su Denye le regole zero IP e reti virtuali specificate, il portale avrebbe precedentemente selezionato Reti selezionate nella pagina Rete dello spazio dei nomi.defaultAction Ora controlla l'opzione Tutte le reti .

Screenshot that shows the Public access page with the All networks option selected.

Passaggi successivi

Per altre informazioni sulle reti virtuali, vedere i collegamenti seguenti: