Toegang tot Azure Event Hubs-naamruimten toestaan via privé-eindpunten

Met de Azure Private Link-service hebt u toegang tot Azure-services (bijvoorbeeld Azure Event Hubs, Azure Storage en Azure Cosmos DB) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk.

Een privé-eindpunt is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé IP-adres van uw virtuele netwerk waardoor de service feitelijk in uw virtuele netwerk wordt geplaatst. Al het verkeer naar de service wordt gerouteerd via het privé-eindpunt, dus er zijn geen gateways, NAT-apparaten, ExpressRoute- of VPN-verbindingen of openbare IP-adressen nodig. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.

Zie Wat is een Azure Private Link? voor meer informatie.

Belangrijke punten

• Deze functie wordt niet ondersteund in de basic-laag .
• Het inschakelen van privé-eindpunten kan voorkomen dat andere Azure-services interactie hebben met Event Hubs. Aanvragen die worden geblokkeerd, zijn die van andere Azure-services, van Azure Portal, van logboekregistratie en metrische gegevens, enzovoort. Als uitzondering kunt u toegang tot Event Hubs-resources van bepaalde vertrouwde services toestaan, zelfs wanneer privé-eindpunten zijn ingeschakeld. Zie Vertrouwde services voor een lijst met vertrouwde services.
• Geef ten minste één IP-regel of regel voor het virtuele netwerk op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of subnetten van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, kan de naamruimte worden geopend via het openbare internet (met behulp van de toegangssleutel).

Een privé-eindpunt toevoegen met behulp van Azure Portal

Vereisten

Als u een Event Hubs-naamruimte wilt integreren met Azure Private Link, hebt u de volgende entiteiten of machtigingen nodig:

• Een Event Hubs-naamruimte.
• Een Azure Virtual Network.
• Een subnet binnen het virtueel netwerk. U kunt het standaardsubnet gebruiken.
• Eigenaars- of inzendermachtigingen voor zowel de naamruimte als het virtuele netwerk.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Wanneer u een regio voor het privé-eindpunt selecteert met behulp van de portal, worden virtuele netwerken die zich in die regio bevinden, automatisch gefilterd. Uw naamruimte kan zich in een andere regio bevinden.

Uw privé-eindpunt maakt gebruik van een privé IP-adres in uw virtueel netwerk.

Privétoegang configureren bij het maken van een naamruimte

Wanneer u een naamruimte maakt, kunt u alleen openbare (van alle netwerken) of alleen privétoegang (alleen via privé-eindpunten) tot de naamruimte toestaan.

Als u de optie Privétoegang selecteert op de pagina Netwerken van de wizard Naamruimte maken, kunt u een privé-eindpunt toevoegen op de pagina door de knop + Privé-eindpunt te selecteren. Zie de volgende sectie voor de gedetailleerde stappen voor het toevoegen van een privé-eindpunt.

Persoonlijke toegang configureren voor een bestaande naamruimte

Als u al een Event Hubs-naamruimte hebt, kunt u een private link-verbinding maken door de volgende stappen uit te voeren:

1. Meld u aan bij het Azure-portaal.

2. Typ in de zoekbalk event hubs.

3. Selecteer de naamruimte in de lijst waaraan u een privé-eindpunt wilt toevoegen.

4. Selecteer uitgeschakeld op de pagina Netwerken voor openbare netwerktoegang als u wilt dat de naamruimte alleen toegankelijk is via privé-eindpunten.

5. Als u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen, selecteert u Ja als u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen.

   

6. Ga naar het tabblad Privé-eindpuntverbindingen .

7. Selecteer de knop + Privé-eindpunt boven aan de pagina.

   

8. Voer op de pagina Basisinformatie de volgende stappen uit:

   1. Selecteer het Azure-abonnement waarin u het privé-eindpunt wilt maken.

   2. Selecteer de resourcegroep voor de privé-eindpuntresource.

   3. Voer een naam in voor het privé-eindpunt.

   4. Voer een naam in voor de netwerkinterface.

   5. Selecteer een regio voor het privé-eindpunt. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk, maar zich in een andere regio bevinden dan de private link-resource waarmee u verbinding maakt.

   6. Selecteer Volgende: knop Resource > onder aan de pagina.

      

9. Controleer de instellingen op de pagina Resource en selecteer Volgende: Virtueel netwerk.

   

10. Op de pagina Virtueel netwerk selecteert u het subnet in een virtueel netwerk waar u het privé-eindpunt wilt implementeren.

    1. Selecteer een virtueel netwerk. Alleen virtuele netwerken in het geselecteerde abonnement en de locatie worden weergegeven in de vervolgkeuzelijst.

    2. Selecteer een subnet in het virtuele netwerk dat u hebt geselecteerd.

    3. U ziet dat het netwerkbeleid voor privé-eindpunten is uitgeschakeld. Als u deze optie wilt inschakelen, selecteert u bewerken, werkt u de instelling bij en selecteert u Opslaan.

    4. Voor privé-IP-configuratie is standaard de optie VOOR DYNAMISCH IP-adres toewijzen geselecteerd. Als u een statisch IP-adres wilt toewijzen, selecteert u Statisch IP-adres toewijzen*.

    5. Voor toepassingsbeveiligingsgroep selecteert u een bestaande toepassingsbeveiligingsgroep of maakt u er een die moet worden gekoppeld aan het privé-eindpunt.

    6. Selecteer Volgende: dns-knop > onder aan de pagina.

       

11. Selecteer op de PAGINA DNS of u het privé-eindpunt wilt integreren met een privé-DNS-zone en selecteer vervolgens Volgende: Tags.

12. Maak op de pagina Tags alle tags (namen en waarden) die u wilt koppelen aan de privé-eindpuntresource. Selecteer vervolgens de knop Beoordelen en maken onder aan de pagina.

13. Controleer bij Beoordelen en maken alle instellingen en selecteer Maken om het privé-eindpunt te maken.

    

14. Controleer of de privé-eindpuntverbinding die u hebt gemaakt, wordt weergegeven in de lijst met eindpunten. Vernieuw de pagina en ga naar het tabblad Privé-eindpuntverbindingen . In dit voorbeeld wordt het privé-eindpunt automatisch goedgekeurd omdat u bent verbonden met een Azure-resource in uw directory en u over voldoende machtigingen beschikt.

    

Vertrouwde Microsoft-services

Wanneer u de instelling Vertrouwde Microsoft-services toestaan om deze firewallinstelling te omzeilen inschakelt, krijgen de volgende services binnen dezelfde tenant toegang tot uw Event Hubs-resources.

Vertrouwde service	Ondersteunde gebruiksscenario's
Azure Event Grid	Hiermee kan Azure Event Grid gebeurtenissen verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren: Door het systeem toegewezen identiteit inschakelen voor een onderwerp of een domein De identiteit toevoegen aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte Configureer vervolgens het gebeurtenisabonnement dat gebruikmaakt van een Event Hub als eindpunt om de door het systeem toegewezen identiteit te gebruiken. Zie Gebeurtenislevering met een beheerde identiteit voor meer informatie
Azure Stream Analytics	Hiermee kan een Azure Stream Analytics-taak gegevens lezen uit (invoer) of gegevens schrijven naar (uitvoer) Event Hubs in uw Event Hubs-naamruimte. Belangrijk: De Stream Analytics-taak moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Beheerde identiteiten gebruiken voor toegang tot de Event Hub vanuit een Azure Stream Analytics-taak (preview) voor meer informatie.
Azure IoT Hub	Hiermee kan IoT Hub berichten verzenden naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren: Door het systeem toegewezen identiteit inschakelen voor uw IoT-hub Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte. Configureer vervolgens de IoT Hub die gebruikmaakt van een Event Hub als een aangepast eindpunt om de verificatie op basis van identiteiten te gebruiken.
Azure API Management	Met de API Management-service kunt u gebeurtenissen verzenden naar een Event Hub in uw Event Hubs-naamruimte. U kunt aangepaste werkstromen activeren door gebeurtenissen naar uw Event Hub te verzenden wanneer een API wordt aangeroepen met behulp van het beleid voor verzenden-aanvragen. U kunt een Event Hub ook behandelen als uw back-end in een API. Zie Verifiëren met behulp van een beheerde identiteit voor toegang tot een Event Hub voor een voorbeeldbeleid. U moet ook de volgende stappen uitvoeren: Schakel door het systeem toegewezen identiteit in op het API Management-exemplaar. Zie Beheerde identiteiten gebruiken in Azure API Management voor instructies. De identiteit toevoegen aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte
Azure Monitor (diagnostische instellingen en actiegroepen)	Hiermee kan Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Event Hubs in uw Event Hubs-naamruimte. Azure Monitor kan lezen vanuit de Event Hub en ook gegevens schrijven naar de Event Hub.
Azure Synapse	Hiermee kan Azure Synapse verbinding maken met de Event Hub met behulp van de beheerde identiteit van de Synapse-werkruimte. Voeg de rol Azure Event Hubs-gegevenszender, ontvanger of eigenaar toe aan de identiteit in de Event Hubs-naamruimte.
Azure Data Explorer	Hiermee kan Azure Data Explorer gebeurtenissen ontvangen van de Event Hub met behulp van de beheerde identiteit van het cluster. U moet de volgende stappen uitvoeren: De beheerde identiteit configureren in Azure Data Explorer Verdeel de rol Azure Event Hubs-gegevensontvanger aan de identiteit op de Event Hub.
Azure IoT Central	Hiermee kan IoT Central gegevens exporteren naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren: Schakel door het systeem toegewezen identiteit in voor uw IoT Central-toepassing. Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte. Configureer vervolgens de Event Hubs-exportbestemming in uw IoT Central-toepassing om verificatie op basis van identiteit te gebruiken.
Azure Health Data Services	Hiermee kunnen Healthcare API's IoT-connector medische apparaatgegevens opnemen uit uw Event Hubs-naamruimte en gegevens behouden in uw geconfigureerde FHIR-service® (Fast Healthcare Interoperability Resources). De IoT-connector moet worden geconfigureerd voor het gebruik van een beheerde identiteit voor toegang tot de Event Hub. Zie Aan de slag met de IoT-connector - Azure Healthcare-API's voor meer informatie.
Azure Digital Twins	Hiermee kunnen Azure Digital Twins gegevens uitgaan naar Event Hubs in uw Event Hubs-naamruimte. U moet ook de volgende stappen uitvoeren: Schakel door het systeem toegewezen identiteit in voor uw Azure Digital Twins-exemplaar. Voeg de identiteit toe aan de rol Azure Event Hubs-gegevenszender in de Event Hubs-naamruimte. Configureer vervolgens een Azure Digital Twins-eindpunt of Azure Digital Twins-gegevensgeschiedenisverbinding die gebruikmaakt van de door het systeem toegewezen identiteit om te verifiëren. Zie Azure Digital Twins-gebeurtenissen routeren en eindpunten maken in Azure Digital Twins voor meer informatie over het configureren van eindpunten en gebeurtenisroutes naar Event Hubs-resources van Azure Digital Twins.

De andere vertrouwde services voor Azure Event Hubs vindt u hieronder:

• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Als u vertrouwde services toegang wilt geven tot uw naamruimte, gaat u naar het tabblad Openbare toegang op de pagina Netwerken en selecteert u Ja voor Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen?.

Een privé-eindpunt toevoegen met Behulp van PowerShell

In het volgende voorbeeld ziet u hoe u Azure PowerShell gebruikt om een privé-eindpuntverbinding te maken. Er wordt geen toegewezen cluster voor u gemaakt. Volg de stappen in dit artikel om een toegewezen Event Hubs-cluster te maken.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

De privé-DNS-zone configureren

Maak een privé-DNS-zone voor het Event Hubs-domein en maak een koppelingskoppeling met het virtuele netwerk:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Privé-eindpunten beheren met behulp van Azure Portal

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren als u over voldoende machtigingen beschikt. Als u verbinding maakt met een Azure-resource in een andere map, moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Er zijn vier inrichtingsstatussen:

Serviceactie	Status privé-eindpunt serviceconsument	Beschrijving
Geen	In behandeling	De verbinding wordt handmatig gemaakt en in afwachting van goedkeuring door de resource-eigenaar van de Private Link.
Goedkeuren	Goedgekeurd	De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Verwerpen	Afgewezen	De verbinding werd afgewezen door de resource-eigenaar van de private link.
Verwijderen	Ontkoppeld	De verbinding is verwijderd door de eigenaar van de private link-resource. Het privé-eindpunt wordt informatief en moet worden verwijderd voor het opschonen.

Een privé-eindpuntverbinding goedkeuren, afwijzen of verwijderen

1. Meld u aan bij het Azure-portaal.
2. Typ in de zoekbalk event hubs.
3. Selecteer de naamruimte die u wilt beheren.
4. Selecteer het tabblad Netwerken.
5. Ga naar de juiste sectie op basis van de bewerking die u wilt: goedkeuren, afwijzen of verwijderen.

Een privé-eindpuntverbinding goedkeuren

1. Als er verbindingen zijn die in behandeling zijn, ziet u een verbinding met In behandeling in de inrichtingsstatus.

2. Selecteer het privé-eindpunt dat u wilt goedkeuren

3. Selecteer de knop Goedkeuren .

   

4. Voeg op de pagina Verbinding goedkeuren een opmerking toe (optioneel) en selecteer Ja. Als u Nee selecteert, gebeurt er niets.

5. U ziet nu de status van de privé-eindpuntverbinding in de lijst gewijzigd in Goedgekeurd.

Een privé-eindpuntverbinding weigeren

1. Als er privé-eindpuntverbindingen zijn die u wilt weigeren, of dit nu een aanvraag in behandeling of bestaande verbinding is, selecteert u de verbinding en selecteert u de knop Weigeren .

   

2. Voer op de pagina Verbinding weigeren een opmerking in (optioneel) en selecteer Ja. Als u Nee selecteert, gebeurt er niets.

3. U ziet nu de status van de privé-eindpuntverbinding in de lijst gewijzigd in Geweigerd.

Een privé-eindpuntverbinding verwijderen

1. Als u een privé-eindpuntverbinding wilt verwijderen, selecteert u deze in de lijst en selecteert u Verwijderen op de werkbalk.
2. Selecteer ja op de pagina Verbinding verwijderen om het verwijderen van het privé-eindpunt te bevestigen. Als u Nee selecteert, gebeurt er niets.
3. Als het goed is, ziet u dat de status is gewijzigd in Verbinding verbroken. Vervolgens verdwijnt het eindpunt uit de lijst.

Controleren of de verbinding van de Private Link werkt

Controleer of resources in het virtuele netwerk van het privé-eindpunt verbinding maken met uw Event Hubs-naamruimte via een privé-IP-adres en dat ze de juiste privé-DNS-zoneintegratie hebben.

Maak eerst een nieuwe virtuele machine door de instructies te volgen in Een virtuele Windows-machine in de Azure Portal maken

Op het tabblad Netwerken :

1. Geef het virtuele netwerk en subnet op. U moet het virtuele netwerk selecteren waarop u het privé-eindpunt hebt geïmplementeerd.
2. Geef een openbare IP-resource op.
3. Selecteer Geen voor NIC-netwerkbeveiligingsgroep.
4. Selecteer Nee voor taakverdeling.

Maak verbinding met de virtuele machine, open de opdrachtregel en voer de volgende opdracht uit:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Als het goed is, ziet u een resultaat dat er als volgt uitziet.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Beperkingen en ontwerpoverwegingen

• Zie Prijs van Azure Private Link voor meer informatie over prijzen.
• Deze functie is beschikbaar in alle openbare Azure-regio's.
• Maximum aantal privé-eindpunten per Event Hubs-naamruimte: 120.
• Het verkeer wordt geblokkeerd op de toepassingslaag, niet op de TCP-laag. Daarom ziet u DAT TCP-verbindingen of nslookup -bewerkingen slagen voor het openbare eindpunt, ook al is de openbare toegang uitgeschakeld.

Zie de Azure Private Link-service voor meer informatie: Beperkingen

Gerelateerde inhoud

• Meer informatie over Azure Private Link
• Meer informatie over Azure Event Hubs