Toegang tot Azure Event Hubs-naamruimten vanaf specifieke IP-adressen of bereiken toestaan

  • Artikel

Event Hubs-naamruimten zijn standaard toegankelijk vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met IP-firewall kunt u deze verder beperken tot alleen een set IPv4- en IPv6-adressen of adresbereiken in CIDR-notatie (Classless Inter-Domain Routing).

Deze functie is handig in scenario's waarin Azure Event Hubs alleen toegankelijk moet zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren voor het accepteren van verkeer dat afkomstig is van specifieke IPv4- en IPv6-adressen. Als u bijvoorbeeld Event Hubs gebruikt met Azure Express Route, kunt u een firewallregel maken om alleen verkeer van uw on-premises INFRASTRUCTUUR-IP-adressen toe te staan.

IP-firewallregels

U geeft IP-firewallregels op het niveau van de Event Hubs-naamruimte op. De regels zijn dus van toepassing op alle verbindingen van clients die elk ondersteund protocol gebruiken. Een verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel in de Event Hubs-naamruimte, wordt geweigerd als onbevoegd. Het antwoord vermeldt de IP-regel niet. IP-filterregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie Accepteren of Weigeren.

Belangrijke punten

  • Deze functie wordt niet ondersteund in de basic-laag .
  • Als u firewallregels inschakelt voor uw Event Hubs-naamruimte, worden binnenkomende aanvragen standaard geblokkeerd, tenzij aanvragen afkomstig zijn van een service die afkomstig is van toegestane openbare IP-adressen. Aanvragen die worden geblokkeerd, zijn de aanvragen van andere Azure-services, vanuit De Azure-portal, logboekregistratie en metrische services, enzovoort. Als uitzondering kunt u toegang tot Event Hubs-resources van bepaalde vertrouwde services toestaan, zelfs als het IP-filter is ingeschakeld. Zie Vertrouwde Microsoft-services voor een lijst met vertrouwde services.
  • Geef ten minste één IP-firewallregel of regel voor het virtuele netwerk op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het opgegeven subnet van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, kan de naamruimte worden geopend via het openbare internet (met behulp van de toegangssleutel).

Azure Portal gebruiken

Wanneer u een naamruimte maakt, kunt u alleen openbare (van alle netwerken) of alleen privétoegang (alleen via privé-eindpunten) tot de naamruimte toestaan. Zodra de naamruimte is gemaakt, kunt u toegang vanaf specifieke IP-adressen of van specifieke virtuele netwerken toestaan (met behulp van netwerkservice-eindpunten).

Openbare toegang configureren bij het maken van een naamruimte

Als u openbare toegang wilt inschakelen, selecteert u Openbare toegang op de pagina Netwerken van de wizard Naamruimte maken.

Screenshot showing the Networking page of the Create namespace wizard with Public access option selected.

Nadat u de naamruimte hebt gemaakt, selecteert u Netwerken in het linkermenu van de Event Hubs-naamruimtepagina . U ziet dat de optie Alle netwerken is geselecteerd. U kunt de optie Geselecteerde netwerken selecteren en toegang toestaan vanaf specifieke IP-adressen of specifieke virtuele netwerken. In de volgende sectie vindt u meer informatie over het configureren van een IP-firewall om de IP-adressen op te geven waaruit de toegang is toegestaan.

IP-firewall configureren voor een bestaande naamruimte

In deze sectie wordt beschreven hoe u Azure Portal gebruikt om IP-firewallregels te maken voor een Event Hubs-naamruimte.

  1. Navigeer naar uw Event Hubs-naamruimte in Azure Portal.

  2. Selecteer Netwerken onder Instellingen in het linkermenu.

  3. Kies op de pagina Netwerken voor openbare netwerktoegang de optie Geselecteerde netwerken om alleen opgegeven IP-adressen toegang toe te staan.

    Hier vindt u meer informatie over opties die beschikbaar zijn op de pagina Openbare netwerktoegang :

    • Uitgeschakeld. Met deze optie wordt openbare toegang tot de naamruimte uitgeschakeld. De naamruimte is alleen toegankelijk via privé-eindpunten.

    • Geselecteerde netwerken. Met deze optie is openbare toegang tot de naamruimte mogelijk met behulp van een toegangssleutel uit geselecteerde netwerken.

      Belangrijk

      Als u Geselecteerde netwerken kiest, voegt u ten minste één IP-firewallregel of een virtueel netwerk toe dat toegang heeft tot de naamruimte. Kies Uitgeschakeld als u alleen al het verkeer naar deze naamruimte wilt beperken via privé-eindpunten .

    • Alle netwerken (standaard). Met deze optie kunt u openbare toegang vanuit alle netwerken met behulp van een toegangssleutel inschakelen. Als u de optie Alle netwerken selecteert, accepteert de Event Hub verbindingen vanaf elk IP-adres (met behulp van de toegangssleutel). Deze instelling is gelijk aan een regel die het IP-adresbereik 0.0.0.0/0 accepteert.

  4. Als u de toegang tot specifieke IP-adressen wilt beperken, selecteert u de optie Geselecteerde netwerken en voert u de volgende stappen uit:

    1. Selecteer in de sectie Firewall de optie Ip-adres van de client toevoegen om uw huidige client-IP-adres toegang te geven tot de naamruimte.

    2. Voer voor adresbereik specifieke IPv4- of IPv6-adressen of adresbereiken in CIDR-notatie in.

      Belangrijk

      Wanneer de service IPv6-verbindingen in de toekomst gaat ondersteunen en clients automatisch overschakelen naar het gebruik van IPv6, worden uw clients verbroken als u alleen IPv4-adressen hebt, niet IPv6-adressen. Daarom raden we u aan IPv6-adressen toe te voegen aan de lijst met toegestane IP-adressen, zodat uw clients niet breken wanneer de service uiteindelijk overschakelt naar ondersteunende IPv6.

    3. Geef op of u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen. Zie Vertrouwde Microsoft-services voor meer informatie.

      Firewall section highlighted in the Public access tab of the Networking page.

  5. Selecteer Opslaan op de werkbalk om de instellingen op te slaan. Wacht enkele minuten totdat de bevestiging wordt weergegeven in de portalmeldingen.

    Notitie

    Zie Toegang vanaf specifieke netwerken toestaan om de toegang tot specifieke virtuele netwerken te beperken.

Vertrouwde Microsoft-services

Wanneer u de instelling Vertrouwde Microsoft-services toestaan om deze firewallinstelling te omzeilen inschakelt, krijgen de volgende services binnen dezelfde tenant toegang tot uw Event Hubs-resources.

Vertrouwde service Ondersteunde gebruiksscenario's
Azure Event Grid Hiermee kan Azure Event Grid gebeurtenissen verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
  • Door het systeem toegewezen identiteit inschakelen voor een onderwerp of een domein
  • De identiteit toevoegen aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte
  • Configureer vervolgens het gebeurtenisabonnement dat gebruikmaakt van een Event Hub als eindpunt om de door het systeem toegewezen identiteit te gebruiken.

Zie Gebeurtenislevering met een beheerde identiteit voor meer informatie

Azure Stream Analytics Hiermee kan een Azure Stream Analytics-taak gegevens lezen uit (invoer) of gegevens schrijven naar (uitvoer) Event Hubs in uw Event Hubs-naamruimte.

Belangrijk: De Stream Analytics-taak moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Beheerde identiteiten gebruiken voor toegang tot de Event Hub vanuit een Azure Stream Analytics-taak (preview) voor meer informatie.

Azure IoT Hub Hiermee kan IoT Hub berichten verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
  • Door het systeem toegewezen identiteit inschakelen voor uw IoT-hub
  • Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte.
  • Configureer vervolgens de IoT Hub die gebruikmaakt van een Event Hub als een aangepast eindpunt om de verificatie op basis van identiteiten te gebruiken.
Azure API Management

Met de API Management-service kunt u gebeurtenissen verzenden naar een Event Hub in uw Event Hubs-naamruimte.

  • U kunt aangepaste werkstromen activeren door gebeurtenissen naar uw Event Hub te verzenden wanneer een API wordt aangeroepen met behulp van het beleid voor verzenden-aanvragen.
  • U kunt een Event Hub ook behandelen als uw back-end in een API. Zie Verifiëren met behulp van een beheerde identiteit voor toegang tot een Event Hub voor een voorbeeldbeleid. U moet ook de volgende stappen uitvoeren:
    1. Schakel door het systeem toegewezen identiteit in op het API Management-exemplaar. Zie Beheerde identiteiten gebruiken in Azure API Management voor instructies.
    2. De identiteit toevoegen aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte
Azure Monitor (diagnostische Instellingen en actiegroepen) Hiermee kan Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Event Hubs in uw Event Hubs-naamruimte. Azure Monitor kan lezen vanuit de Event Hub en ook gegevens schrijven naar de Event Hub.
Azure Synapse Hiermee kan Azure Synapse verbinding maken met de Event Hub met behulp van de beheerde identiteit van de Synapse-werkruimte. Voeg de rol Azure Event Hubs-gegevenszender, ontvanger of eigenaar toe aan de identiteit in de Event Hubs-naamruimte.
Azure Data Explorer Hiermee kan Azure Data Explorer gebeurtenissen ontvangen van de Event Hub met behulp van de beheerde identiteit van het cluster. U moet de volgende stappen uitvoeren:  
Azure IoT Central

Hiermee kan IoT Central gegevens exporteren naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:

  • Schakel door het systeem toegewezen identiteit in voor uw IoT Central-toepassing.
  • Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte.
  • Configureer vervolgens de Event Hubs-exportbestemming in uw IoT Central-toepassing om verificatie op basis van identiteit te gebruiken.
Azure Health Data Services Hiermee kunnen Healthcare API's IoT-connector medische apparaatgegevens opnemen uit uw Event Hubs-naamruimte en gegevens behouden in uw geconfigureerde FHIR-service® (Fast Healthcare Interoperability Resources). De IoT-connector moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Aan de slag met de IoT-connector - Azure Healthcare-API's voor meer informatie.
Azure Digital Twins Hiermee kunnen Azure Digital Twins gegevens uitgaan naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:

De andere vertrouwde services voor Azure Event Hubs vindt u hieronder:

  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview

Resource Manager-sjabloon gebruiken

Belangrijk

De firewallfunctie wordt niet ondersteund in de basic-laag.

Met de volgende Resource Manager-sjabloon kunt u een IP-filterregel toevoegen aan een bestaande Event Hubs-naamruimte.

ipMask in de sjabloon is één IPv4-adres of een blok IP-adressen in CIDR-notatie. In CIDR-notatie 70.37.104.0/24 vertegenwoordigt u bijvoorbeeld de 256 IPv4-adressen van 70.37.104.0 tot 70.37.104.255, waarbij 24 het aantal significante voorvoegsel-bits voor het bereik aangeeft.

Notitie

De standaardwaarde van de defaultAction is Allow. Wanneer u regels voor virtuele netwerken of firewalls toevoegt, moet u ervoor zorgen dat u het defaultAction instelt op Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespace_name": {
            "defaultValue": "contosoehub1333",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.EventHub/namespaces",
            "apiVersion": "2022-01-01-preview",
            "name": "[parameters('namespace_name')]",
            "location": "East US",
            "sku": {
                "name": "Standard",
                "tier": "Standard",
                "capacity": 1
            },
            "properties": {
                "minimumTlsVersion": "1.2",
                "publicNetworkAccess": "Enabled",
                "disableLocalAuth": false,
                "zoneRedundant": true,
                "isAutoInflateEnabled": false,
                "maximumThroughputUnits": 0,
                "kafkaEnabled": true
            }
        },
        {
            "type": "Microsoft.EventHub/namespaces/authorizationrules",
            "apiVersion": "2022-01-01-preview",
            "name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
            "location": "eastus",
            "dependsOn": [
                "[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "rights": [
                    "Listen",
                    "Manage",
                    "Send"
                ]
            }
        },
        {
            "type": "Microsoft.EventHub/namespaces/networkRuleSets",
            "apiVersion": "2022-01-01-preview",
            "name": "[concat(parameters('namespace_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "172.72.157.204",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Volg de instructies voor Azure Resource Manager om de sjabloon te implementeren.

Belangrijk

Als er geen IP- en virtuele-netwerkregels zijn, stroomt al het verkeer naar de naamruimte, zelfs als u de defaultAction naamruimte instelt op deny. De naamruimte kan worden geopend via het openbare internet (met behulp van de toegangssleutel). Geef ten minste één IP-regel of regel voor het virtuele netwerk op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of subnetten van een virtueel netwerk toe te staan.

Azure CLI gebruiken

Gebruik az eventhubs namespace network-rule-set opdrachten voor toevoegen, weergeven, bijwerken en verwijderen om IP-firewallregels voor een Event Hubs-naamruimte te beheren.

Azure PowerShell gebruiken

Gebruik de Set-AzEventHubNetworkRuleSet cmdlet om een of meer IP-firewallregels toe te voegen. Een voorbeeld uit het artikel:

$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3

Standaardactie en openbare netwerktoegang

REST-API

De standaardwaarde van de defaultAction eigenschap was Deny voor API-versie 2021-01-01-preview en eerder. De regel voor weigeren wordt echter niet afgedwongen, tenzij u IP-filters of regels voor virtuele netwerken instelt. Als u geen IP-filters of regels voor virtuele netwerken hebt, wordt dit beschouwd als Allow.

Vanaf API-versie 2021-06-01-preview is Allowde standaardwaarde van de defaultAction eigenschap , om de afdwinging aan de servicezijde nauwkeurig weer te geven. Als de standaardactie is ingesteld op Deny, worden IP-filters en regels voor virtuele netwerken afgedwongen. Als de standaardactie is ingesteld op Allow, worden IP-filters en regels voor virtuele netwerken niet afgedwongen. De service onthoudt de regels wanneer u ze uitschakelt en weer inschakelt.

De API-versie 2021-06-01-preview introduceert ook een nieuwe eigenschap met de naam publicNetworkAccess. Als deze optie is ingesteld Disabled, worden bewerkingen alleen beperkt tot privékoppelingen. Als deze optie is ingesteld Enabled, zijn bewerkingen toegestaan via het openbare internet.

Zie Netwerkregelset maken of bijwerken en privé-eindpunten maken of bijwerken Verbinding maken ions voor meer informatie over deze eigenschappen.

Notitie

Geen van de bovenstaande instellingen omzeilt de validatie van claims via SAS- of Microsoft Entra-verificatie. De verificatiecontrole wordt altijd uitgevoerd nadat de service de netwerkcontroles valideert die zijn geconfigureerd door defaultAction, publicNetworkAccessinstellingen privateEndpointConnections .

Azure Portal

Azure Portal gebruikt altijd de nieuwste API-versie om eigenschappen op te halen en in te stellen. Als u uw naamruimte hebt geconfigureerd met behulp van 2021-01-01-preview en eerder, en DenydefaultAction nul IP-filters en regels voor virtuele netwerken hebt opgegeven, zou de portal eerder geselecteerde netwerken hebben gecontroleerd op de pagina Netwerken van uw naamruimte. Nu wordt de optie Alle netwerken gecontroleerd.

Screenshot that shows the Public access page with the All networks option selected.

Volgende stappen

Zie de volgende koppeling voor het beperken van de toegang tot Event Hubs naar virtuele Azure-netwerken: