Бөлісу құралы:


Сетевая безопасность для ресурсов Сетки событий Azure

В этой статье описывается, как использовать следующие функции безопасности в Сетке событий Azure.

  • Теги службы для исходящего трафика
  • Правила брандмауэра для входящего трафика
  • Частные конечные точки для входящего трафика

Теги служб

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure. Корпорация Майкрософт управляет префиксами адресов, входящих в тег службы, и автоматически обновляет этот тег при изменении адресов, сводя к минимуму сложность частых обновлений правил сетевой безопасности. Для получения дополнительной информации о служебных тегах см. статью Обзор служебных тегов.

Теги службы можно использовать для определения элементов управления доступом к сети в группах безопасности сети или Брандмауэре Azure. Теги служб можно использовать вместо определенных IP-адресов при создании правил безопасности. Указав имя тега службы (например, AzureEventGrid) в соответствующем поле источника или назначения в правиле, можно разрешить или запретить трафик для соответствующей службы.

Тег службы Характер использования Может ли использовать входящий или исходящий трафик? Может быть региональным? Можно ли использовать с Брандмауэром Azure?
AzureEventGrid Сетка событий Azure. И то, и другое No No

IP-брандмауэр

Сетка событий Azure поддерживает элементы управления доступом на основе IP-адресов для публикации в разделах и доменах. Элементы управления на основе IP-адресов позволяют ограничить публикующих в разделе или домене только набором утвержденных компьютеров и облачных служб. Эта функция дополняет механизмы проверки подлинности, поддерживаемые Сеткой событий.

По умолчанию раздел и домен доступны из Интернета при условии, что запрос поступает с действительными данными для аутентификации и авторизации. С помощью брандмауэра для IP-адресов такой доступ можно дополнительно ограничить набором или диапазоном IP-адресов в нотации CIDR. Издатели, исходящие из любого другого IP-адреса, отклоняются и получают ответ 403 (запрещено).

Пошаговые инструкции по настройке брандмауэра IP для разделов и доменов см. в разделе Настройка брандмауэра для IP-адресов.

Частные конечные точки

Вы можете использовать частные конечные точки, чтобы пропускать безопасный входящий трафик событий непосредственно из виртуальной сети в ресурсы Сетки событий по приватному каналу, без использования общедоступного Интернета. Частная конечная точка — это специальный сетевой интерфейс для службы Azure, размещенный в виртуальной сети. При создании частной конечной точки для раздела или домена он обеспечивает безопасное подключение между клиентами в виртуальной сети и ресурсом Сетки событий. Частной конечной точке назначается IP-адрес из диапазона IP-адресов виртуальной сети. Подключение между частной конечной точкой и службой Сетки событий использует защищенный приватный канал.

Diagram that shows how private endpoints work with Event Grid.

Использование частных конечных точек для ресурса сетки событий позволяет:

  • Безопасный доступ к разделу или домену из виртуальной сети через магистральную сеть Майкрософт, а не через общедоступный Интернет.
  • Безопасное подключение из локальных сетей, которые подключаются к виртуальной сети с помощью VPN или Express Routes с частным пирингом.

При создании частной конечной точки для раздела или домена в виртуальной сети запрос на согласие отправляется для утверждения владельцу ресурса. Если пользователь, запрашивающий создание частной конечной точки, одновременно является владельцем ресурса, запрос на согласие утверждается автоматически. В противном случае соединение находится в состоянии ожидания, пока не будет утверждено. Приложения в виртуальной сети могут легко подключаться к службе сетки событий через частную конечную точку, используя те же строка подключения и механизмы авторизации, которые они будут использовать в противном случае. Владельцы ресурсов могут управлять запросами на согласие и частными конечными точками на вкладке Private endpoints (Частные конечные точки) для ресурса на портале Azure.

Подключение к частным конечным точкам

Издатели в виртуальной сети с помощью частной конечной точки должны использовать ту же строка подключения для раздела или домена, что и клиенты, подключающиеся к общедоступной конечной точке. Разрешение системы доменных имен (DNS) автоматически направляет подключения из виртуальной сети к теме или домену по приватной ссылке. Сетка событий создает частную зону DNS, подключенную к виртуальной сети, с необходимым обновлением для частных конечных точек по умолчанию. Однако если вы используете собственный DNS-сервер, может потребоваться внести дополнительные изменения в конфигурацию DNS.

Изменения DNS для частных конечных точек

При создании частной конечной точки запись DNS CNAME для ресурса обновляется и получает псевдоним в поддомене с префиксом privatelink. По умолчанию создается частная зона DNS, соответствующая поддомену частной ссылки.

При разрешении URL-адреса раздела или конечной точки домена извне виртуальной сети с частной конечной точкой она разрешается в общедоступную конечную точку службы. Записи ресурсов DNS для "topicA" при разрешении извне виртуальной сети , в которых размещена частная конечная точка, являются следующими:

Имя. Тип значение
topicA.westus.eventgrid.azure.net CNAME topicA.westus.privatelink.eventgrid.azure.net
topicA.westus.privatelink.eventgrid.azure.net CNAME <Профиль диспетчера трафика Azure>

Вы можете запретить или контролировать доступ для клиента за пределами виртуальной сети через общедоступную конечную точку с помощью брандмауэра IP-адресов.

При разрешении из виртуальной сети, на котором размещена частная конечная точка, URL-адрес темы или конечной точки домена разрешается по IP-адресу частной конечной точки. Записи ресурсов DNS для раздела "topicA" при разрешении из виртуальной сети , где размещена частная конечная точка, являются следующими:

Имя. Тип значение
topicA.westus.eventgrid.azure.net CNAME topicA.westus.privatelink.eventgrid.azure.net
topicA.westus.privatelink.eventgrid.azure.net а 10.0.0.5

Этот подход позволяет получить доступ к теме или домену, используя ту же строка подключения для клиентов в виртуальной сети, где размещаются частные конечные точки, и клиенты за пределами виртуальной сети.

Если вы используете пользовательский DNS-сервер в сети, клиенты могут разрешить полное доменное имя (FQDN) для раздела или конечной точки домена на IP-адрес частной конечной точки. Настройте DNS-сервер, чтобы делегировать поддомен приватного канала в частную зону DNS для виртуальной сети или настроить записи A для topicOrDomainName.regionName.privatelink.eventgrid.azure.net IP-адреса частной конечной точки.

Рекомендуемое имя зоны DNS — privatelink.eventgrid.azure.net.

Частные конечные точки и публикация

В следующей таблице описаны различные состояния подключения к частной конечной точке и их влияние на публикацию.

Состояние соединения Публикация успешно выполнена (да/нет)
Утвержденная Да
Аннулировано No
Не завершено No
Отключено No

Чтобы публикация прошла успешно, состояние подключения к частной конечной точке должно быть утверждено. Если подключение отклоняется, оно не может быть утверждено с помощью портал Azure. Единственной возможностью является удаление соединения и создание нового.

Квоты и ограничения

Существует ограничение на количество правил брандмауэра для IP-адресов и подключений к частной конечной точке для одного раздела или домена. См. статью Квоты и ограничения Сетки событий Azure.

Следующие шаги

Вы можете настроить брандмауэр IP-адресов для ресурса Сетки событий, чтобы предоставлять доступ из общедоступного Интернета определенным набором IP-адресов или диапазонов IP-адресов. Пошаговые инструкции см. в статье о настройке брандмауэра для IP-адресов.

Вы можете настроить частные конечные точки, чтобы предоставлять доступ только указанными виртуальными сетями. Пошаговые инструкции см. в статье о настройке частных конечных точек.

Сведения об устранении неполадок с сетевым подключением см. в статье "Устранение неполадок с сетевым подключением".