Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Standaard hebben gebruikers toegang tot Event Hubs-naamruimten vanaf internet zolang de aanvraag wordt geleverd met geldige verificatie en autorisatie. Met behulp van de IP-firewall kunt u de toegang beperken tot alleen een set IPv4- en IPv6-adressen of -adresbereiken in CIDR-notatie (Classless Inter-Domain Routing).
Deze functie is handig in scenario's waarin Azure Event Hubs alleen toegankelijk moeten zijn vanaf bepaalde bekende sites. Met firewallregels kunt u regels configureren voor het accepteren van verkeer dat afkomstig is van specifieke IPv4- en IPv6-adressen. Als u bijvoorbeeld Event Hubs gebruikt met Azure Express Route, kunt u een firewallregel maken om alleen verkeer van uw on-premises INFRASTRUCTUUR-IP-adressen toe te staan.
IP-firewall-regels
U geeft IP-firewallregels op het niveau van de Event Hubs-naamruimte op. De regels zijn van toepassing op alle verbindingen van clients die elk ondersteund protocol gebruiken. De Event Hubs-naamruimte weigert een verbindingspoging van een IP-adres dat niet overeenkomt met een toegestane IP-regel als onbevoegd. Het antwoord vermeldt de IP-regel niet. IP-firewallregels worden op volgorde toegepast en de eerste regel die overeenkomt met het IP-adres bepaalt de actie Accepteren of Weigeren.
Belangrijke punten
- Deze functie wordt niet ondersteund in de basic-laag .
- Wanneer u firewallregels voor uw Event Hubs-naamruimte inschakelt, blokkeert de firewall standaard binnenkomende aanvragen, tenzij aanvragen afkomstig zijn van een service die afkomstig is van toegestane openbare IP-adressen. Geblokkeerde aanvragen omvatten de aanvragen van andere Azure-services, vanuit Azure Portal, logboekregistratie en metrische services, enzovoort. Als uitzondering kunt u toegang tot Event Hubs-resources van bepaalde vertrouwde services toestaan, zelfs als het IP-filter is ingeschakeld. Zie Vertrouwde Microsoft-services voor een lijst met vertrouwde services.
- Geef ten minste één IP-firewallregel of regel voor het virtuele netwerk op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of het opgegeven subnet van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, hebben gebruikers toegang tot de naamruimte via het openbare internet (met behulp van de toegangssleutel).
Firewallregels configureren met behulp van Azure Portal
Wanneer u een naamruimte maakt, kunt u alleen openbare (van alle netwerken) of alleen privétoegang (alleen via privé-eindpunten) tot de naamruimte toestaan. Zodra u de naamruimte hebt gemaakt, kunt u toegang vanaf specifieke IP-adressen of van specifieke virtuele netwerken toestaan (met behulp van netwerkservice-eindpunten).
Openbare toegang configureren bij het maken van een naamruimte
Als u openbare toegang wilt inschakelen, selecteert u Openbare toegang op de pagina Netwerken van de wizard Naamruimte maken.
Nadat u de naamruimte hebt gemaakt, selecteert u Netwerken in het linkermenu van de Event Hubs-naamruimtepagina .
Openbare netwerktoegang is standaard ingeschakeld voor de naamruimte voor alle netwerken.
Met deze optie kunt u openbare toegang vanuit alle netwerken inschakelen met behulp van een toegangssleutel. De naamruimte accepteert verbindingen vanaf elk IP-adres (met behulp van de toegangssleutel).
In de volgende sectie vindt u informatie over het configureren van IP-firewallregels om de IP-adressen op te geven waaruit de toegang is toegestaan.
IP-firewall configureren voor een bestaande naamruimte
In deze sectie wordt beschreven hoe u Azure Portal gebruikt om IP-firewallregels te maken voor een Event Hubs-naamruimte.
Navigeer naar uw Event Hubs-naamruimte in Azure Portal.
Selecteer Netwerken onder Instellingen in het linkermenu.
Selecteer Beheren onder Openbare netwerktoegang op de pagina Netwerken.
Selecteer op de pagina Openbare netwerktoegang in de sectie Standaardactie de optie Inschakelen vanuit geselecteerde netwerken om alleen opgegeven IP-adressen toegang te verlenen.
Important
Als u Geselecteerde netwerken kiest, voegt u ten minste één IP-firewallregel of een virtueel netwerk toe dat toegang heeft tot de naamruimte. Kies Uitgeschakeld als u alleen al het verkeer naar deze naamruimte wilt beperken via privé-eindpunten .
Selecteer in de sectie IP-adressen de optie Ip-adres van de client toevoegen om uw huidige client-IP toegang te geven tot de naamruimte.
Voer voor adresbereik specifieke IPv4- of IPv6-adressen of adresbereiken in CIDR-notatie in.
Important
U wordt aangeraden nu IPv6-adressen toe te voegen aan de lijst met toegestane IP-adressen, zodat uw clients niet worden onderbroken wanneer de service uiteindelijk overschakelt naar ondersteuning van alleen IPv6.
Geef in de sectie Uitzondering op of u vertrouwde Microsoft-services toegang wilt geven tot deze resource. Zie Vertrouwde Microsoft-services voor meer informatie.
Selecteer Opslaan op de werkbalk om de instellingen op te slaan. Wacht enkele minuten totdat de bevestiging wordt weergegeven in de portalmeldingen.
Vertrouwde Microsoft-services
Wanneer u de instelling Vertrouwde Microsoft-services toestaan om deze firewallinstelling te omzeilen inschakelt, krijgen de volgende services binnen dezelfde tenant toegang tot uw Event Hubs-resources.
| Vertrouwde service | Ondersteunde gebruiksscenario's |
|---|---|
| Azure Event Grid | Hiermee kan Azure Event Grid gebeurtenissen verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
Zie Gebeurtenislevering met een beheerde identiteit voor meer informatie |
| Azure Stream Analytics | Hiermee kan een Azure Stream Analytics-taak gegevens lezen uit (invoer) of gegevens schrijven naar (uitvoer) Event Hubs in uw Event Hubs-naamruimte. Belangrijk: De Stream Analytics-taak moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Beheerde identiteiten gebruiken voor toegang tot de Event Hub vanuit een Azure Stream Analytics-taak (preview) voor meer informatie. |
| Azure IoT Hub | Hiermee kan IoT Hub berichten verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
|
| Azure API Management | Met de API Management-service kunt u gebeurtenissen verzenden naar een Event Hub in uw Event Hubs-naamruimte.
|
| Azure Monitor (diagnostische instellingen en actiegroepen) | Hiermee kan Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Event Hubs in uw Event Hubs-naamruimte. Azure Monitor kan lezen vanuit de Event Hub en ook gegevens schrijven naar de Event Hub. |
| Azure Synapse | Hiermee kan Azure Synapse verbinding maken met de Event Hub met behulp van de beheerde identiteit van de Synapse-werkruimte. Voeg de rol Azure Event Hubs-gegevenszender, ontvanger of eigenaar toe aan de identiteit in de Event Hubs-naamruimte. |
| Azure-gegevensverkenner | Hiermee kan Azure Data Explorer gebeurtenissen ontvangen van de Event Hub met behulp van de beheerde identiteit van het cluster. U moet de volgende stappen uitvoeren:
|
| Azure IoT Central | Hiermee kan IoT Central gegevens exporteren naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
|
| Azure Health Data Services | Hiermee kunnen Healthcare API's IoT-connector medische apparaatgegevens opnemen uit uw Event Hubs-naamruimte en gegevens behouden in uw geconfigureerde FHIR-service® (Fast Healthcare Interoperability Resources). De IoT-connector moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Aan de slag met de IoT-connector - Azure Healthcare-API's voor meer informatie. |
| Azure Digital Twins (digitale tweelingen van Azure) | Hiermee kunnen Azure Digital Twins gegevens uitgaan naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren:
|
De andere vertrouwde services voor Azure Event Hubs vindt u hieronder:
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
Firewallregels configureren met Resource Manager-sjablonen
Important
De firewallfunctie wordt niet ondersteund in de basic-laag.
Met de volgende Resource Manager-sjabloon kunt u een IP-filterregel toevoegen aan een bestaande Event Hubs-naamruimte.
De ipMask in de sjabloon is één IPv4-adres of een blok IP-adressen in CIDR-notatie. In CIDR-notatie 70.37.104.0/24 vertegenwoordigt u bijvoorbeeld de 256 IPv4-adressen van 70.37.104.0 tot 70.37.104.255, waarbij 24 het aantal significante voorvoegsel-bits voor het bereik aangeeft.
Note
De standaardwaarde van de defaultAction is Allow. Wanneer u regels voor virtuele netwerken of firewalls toevoegt, moet u ervoor zorgen dat u het defaultAction instelt op Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "contosoehub1333",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.EventHub/namespaces",
"apiVersion": "2022-01-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard",
"capacity": 1
},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true
}
},
{
"type": "Microsoft.EventHub/namespaces/authorizationrules",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.EventHub/namespaces/networkRuleSets",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
},
{
"ipMask": "172.72.157.204",
"action": "Allow"
}
]
}
}
]
}
Volg de instructies voor Azure Resource Manager om de sjabloon te implementeren.
Important
Als u geen IP- of virtuele netwerkregels toevoegt, stroomt al het verkeer naar de naamruimte, zelfs als u de defaultAction naamruimte instelt op deny. Gebruikers hebben toegang tot de naamruimte via het openbare internet (met behulp van de toegangssleutel). Als u alleen verkeer wilt toestaan vanaf de opgegeven IP-adressen of het opgegeven subnet van een virtueel netwerk, geeft u ten minste één IP-regel of virtuele netwerkregel op voor de naamruimte.
Firewallregels configureren met behulp van Azure CLI
Gebruik az eventhubs namespace network-rule-set opdrachten voor toevoegen, weergeven, bijwerken en verwijderen om IP-firewallregels voor een Event Hubs-naamruimte te beheren.
Firewallregels configureren met behulp van Azure PowerShell
Gebruik de Set-AzEventHubNetworkRuleSet cmdlet om een of meer IP-firewallregels toe te voegen. Een voorbeeld uit het artikel:
$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3
Standaardactie en openbare netwerktoegang
REST API
Voor API-versies 2021-01-01-preview en eerder is defaultActionde standaardwaarde van de Deny eigenschap. De service dwingt echter niet de regel voor weigeren af, tenzij u IP-filters of regels voor virtuele netwerken instelt. Als u geen IP-filters of regels voor virtuele netwerken instelt, behandelt de service de standaardactie als Allow.
Vanaf API-versie 2021-06-01-preview is defaultActionde standaardwaarde van de Allow eigenschap , die nauwkeurig overeenkomt met de afdwinging aan de servicezijde. Als u de standaardactie Denyinstelt op, dwingt de service IP-filters en regels voor virtuele netwerken af. Als u de standaardactie Allowinstelt op, dwingt de service geen IP-filters en regels voor virtuele netwerken af. De service onthoudt de regels wanneer u ze uitschakelt en weer inschakelt.
API-versie 2021-06-01-preview en verder introduceert ook een nieuwe eigenschap met de naam publicNetworkAccess. Als u deze eigenschap Disabledinstelt op , worden bewerkingen alleen beperkt tot privékoppelingen. Als u dit Enabledinstelt op , zijn bewerkingen toegestaan via het openbare internet.
Zie Netwerkregelset maken of bijwerken en Privé-eindpuntverbindingen maken of bijwerken voor meer informatie over deze eigenschappen.
Note
Geen van de voorgaande instellingen omzeilt validatie van claims via SAS- of Microsoft Entra-authenticatie. De verificatiecontrole wordt altijd uitgevoerd nadat de service de netwerkcontroles die door de defaultAction, publicNetworkAccess, en privateEndpointConnections instellingen worden geconfigureerd, heeft gevalideerd.
Azure portal
Azure Portal gebruikt altijd de nieuwste API-versie om eigenschappen op te halen en in te stellen. Als u uw naamruimte hebt geconfigureerd met 2021-01-01-preview en eerdere versies met de defaultAction instelling Denyen u nul IP-filters en regels voor virtuele netwerken hebt opgegeven, heeft de portal eerder geselecteerde netwerken gecontroleerd op de pagina Netwerken van uw naamruimte. Nu wordt de optie Alle netwerken gecontroleerd.
Volgende stappen
Raadpleeg het volgende artikel om de toegang tot Event Hubs tot virtuele Azure-netwerken te beperken: