Toegang tot Azure Service Bus-naamruimten via privé-eindpunten toestaan

Met de Azure Private Link-service hebt u toegang tot Azure-services (bijvoorbeeld Azure Service Bus, Azure Storage en Azure Cosmos DB) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk.

Een privé-eindpunt is een netwerkinterface waarmee u privé en veilig verbinding maakt met een service die door Azure Private Link mogelijk wordt gemaakt. Het privé-eindpunt maakt gebruik van een privé IP-adres van uw virtuele netwerk waardoor de service feitelijk in uw virtuele netwerk wordt geplaatst. Al het verkeer naar de service kan worden gerouteerd via het privé-eindpunt, zodat er geen gateways, NAT-apparaten, ExpressRoute of VPN-verbindingen of openbare IP-adressen nodig zijn. Verkeer tussen uw virtuele netwerk en de services wordt via het backbonenetwerk van Microsoft geleid, waarmee de risico's van het openbare internet worden vermeden. U kunt verbinding maken met een exemplaar van een Azure-resource, zodat u het hoogste granulariteit krijgt in toegangsbeheer.

Zie Wat is een Azure Private Link? voor meer informatie.

Belangrijke punten

• Deze functie wordt ondersteund met de Premium-laag van Azure Service Bus. Zie het artikel Service Bus Premium en Standard Messaging-lagen voor meer informatie over de Premium-laag.

• Door het implementeren van privé-eindpunten kan de interactie van andere Azure-services met Service Bus worden verhinderd. Als uitzondering kunt u toegang tot Service Bus-resources van bepaalde vertrouwde services toestaan, zelfs wanneer privé-eindpunten zijn ingeschakeld. Zie Vertrouwde services voor een lijst met vertrouwde services.

  De volgende Microsoft-services moeten zich in een virtueel netwerk bevinden

  • Azure App Service
  • Azure Functions

• Geef ten minste één IP-regel of regel voor het virtuele netwerk op voor de naamruimte om alleen verkeer van de opgegeven IP-adressen of subnetten van een virtueel netwerk toe te staan. Als er geen IP- en virtuele netwerkregels zijn, kan de naamruimte worden geopend via het openbare internet (met behulp van de toegangssleutel).

Een privé-eindpunt toevoegen met behulp van Azure Portal

Vereisten

Als u een Service Bus-naamruimte wilt integreren met Azure Private Link, hebt u de volgende entiteiten of machtigingen nodig:

• Een Service Bus-naamruimte.
• Een Azure Virtual Network.
• Een subnet binnen het virtueel netwerk. U kunt het standaardsubnet gebruiken.
• Eigenaars- of inzendermachtigingen voor zowel de Service Bus-naamruimte als het virtuele netwerk.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Wanneer u een regio voor het privé-eindpunt selecteert met behulp van de portal, worden er automatisch alleen virtuele netwerken gefilterd die zich in die regio bevinden. Uw Service Bus-naamruimte mag zich in een andere regio bevinden. En uw privé-eindpunt maakt gebruik van een privé-IP-adres in uw virtuele netwerk.

Privétoegang configureren bij het maken van een naamruimte

Wanneer u een naamruimte maakt, kunt u alleen openbare (van alle netwerken) of alleen privétoegang (alleen via privé-eindpunten) tot de naamruimte toestaan.

Als u de optie Privétoegang selecteert op de pagina Netwerken van de wizard Naamruimte maken, kunt u een privé-eindpunt toevoegen op de pagina door de knop + Privé-eindpunt te selecteren. Zie de volgende sectie voor de gedetailleerde stappen voor het toevoegen van een privé-eindpunt.

Persoonlijke toegang configureren voor een bestaande naamruimte

Als u al een bestaande naamruimte hebt, kunt u een privé-eindpunt maken door de volgende stappen uit te voeren:

1. Meld u aan bij het Azure-portaal.

2. Typ in de zoekbalk Service Bus.

3. Selecteer de naamruimte in de lijst waaraan u een privé-eindpunt wilt toevoegen.

4. Selecteer in het linkermenu de optie Netwerken onder Instellingen.

   Notitie

   U ziet het tabblad Netwerken alleen voor Premium-naamruimten .

5. Selecteer uitgeschakeld op de pagina Netwerken voor openbare netwerktoegang als u wilt dat de naamruimte alleen toegankelijk is via privé-eindpunten.

6. Als u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen, selecteert u Ja als u vertrouwde Microsoft-services wilt toestaan om deze firewall te omzeilen.

   

7. Als u toegang tot de naamruimte via privé-eindpunten wilt toestaan, selecteert u het tabblad Privé-eindpuntverbindingen boven aan de pagina

8. Selecteer de knop + Privé-eindpunt boven aan de pagina.

   

9. Voer op de pagina Basisinformatie de volgende stappen uit:

   1. Selecteer het Azure-abonnement waarin u het privé-eindpunt wilt maken.

   2. Selecteer de resourcegroep voor de privé-eindpuntresource.

   3. Voer een naam in voor het privé-eindpunt.

   4. Voer een naam in voor de netwerkinterface.

   5. Selecteer een regio voor het privé-eindpunt. Uw privé-eindpunt moet zich in dezelfde regio bevinden als uw virtuele netwerk, maar zich in een andere regio bevinden dan de private link-resource waarmee u verbinding maakt.

   6. Selecteer Volgende: knop Resource > onder aan de pagina.

      

10. Controleer de instellingen op de pagina Resource en selecteer Volgende: Virtueel netwerk onderaan de pagina.

    

11. Op de pagina Virtueel netwerk selecteert u het subnet in een virtueel netwerk waar u het privé-eindpunt wilt implementeren.

    1. Selecteer een virtueel netwerk. Alleen virtuele netwerken in het geselecteerde abonnement en de locatie worden weergegeven in de vervolgkeuzelijst.
    2. Selecteer een subnet in het virtuele netwerk dat u hebt geselecteerd.
    3. U ziet dat het netwerkbeleid voor privé-eindpunten is uitgeschakeld. Als u deze optie wilt inschakelen, selecteert u bewerken, werkt u de instelling bij en selecteert u Opslaan.
    4. Voor privé-IP-configuratie is standaard de optie VOOR DYNAMISCH IP-adres toewijzen geselecteerd. Als u een statisch IP-adres wilt toewijzen, selecteert u Statisch IP-adres toewijzen*.
    5. Voor toepassingsbeveiligingsgroep selecteert u een bestaande toepassingsbeveiligingsgroep of maakt u er een die moet worden gekoppeld aan het privé-eindpunt.
    6. Selecteer Volgende: dns-knop > onder aan de pagina.

    

12. Selecteer op de PAGINA DNS of u het privé-eindpunt wilt integreren met een privé-DNS-zone en selecteer vervolgens Volgende: Tags.

    

13. Maak op de pagina Tags alle tags (namen en waarden) die u wilt koppelen aan de privé-eindpuntresource. Selecteer vervolgens de knop Beoordelen en maken onder aan de pagina.

14. Controleer bij Beoordelen en maken alle instellingen en selecteer Maken om het privé-eindpunt te maken.

    

15. Controleer of het privé-eindpunt is gemaakt. Als u de eigenaar van de resource bent en Verbinding maken met een Azure-resource in mijn directory hebt geselecteerd voor de methode Verbinding, moet de eindpuntverbinding automatisch worden goedgekeurd. Als deze de status In behandeling heeft , raadpleegt u de sectie Privé-eindpunten beheren met behulp van Azure Portal .

    

Vertrouwde Microsoft-services

Wanneer u vertrouwde Microsoft-services toestaan om deze firewallinstelling te omzeilen inschakelt, krijgen de volgende services toegang tot uw Service Bus-resources.

Vertrouwde service	Ondersteunde gebruiksscenario's
Azure Event Grid	Hiermee kan Azure Event Grid gebeurtenissen verzenden naar wachtrijen of onderwerpen in uw Service Bus-naamruimte. U moet ook de volgende stappen uitvoeren: Door het systeem toegewezen identiteit inschakelen voor een onderwerp of een domein De identiteit toevoegen aan de rol Azure Service Bus-gegevenszender in de Service Bus-naamruimte Configureer vervolgens het gebeurtenisabonnement dat gebruikmaakt van een Service Bus-wachtrij of -onderwerp als eindpunt om de door het systeem toegewezen identiteit te gebruiken. Zie Gebeurtenislevering met een beheerde identiteit voor meer informatie
Azure Stream Analytics	Hiermee kan een Azure Stream Analytics-taak gegevens uitvoeren naar Service Bus-wachtrijen naar onderwerpen. Belangrijk: De Stream Analytics-taak moet worden geconfigureerd om een beheerde identiteit te gebruiken voor toegang tot de Service Bus-naamruimte. Voeg de identiteit toe aan de rol Azure Service Bus-gegevenszender in de Service Bus-naamruimte.
Azure IoT Hub	Hiermee kan een IoT-hub berichten verzenden naar wachtrijen of onderwerpen in uw Service Bus-naamruimte. U moet ook de volgende stappen uitvoeren: Schakel door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit in voor uw IoT-hub. Voeg de identiteit toe aan de rol Azure Service Bus-gegevenszender in de Service Bus-naamruimte. Configureer de IoT Hub die gebruikmaakt van een Service Bus-entiteit als eindpunt om de verificatie op basis van identiteiten te gebruiken.
Azure API Management	Met de API Management-service kunt u berichten verzenden naar een Service Bus-wachtrij/-onderwerp in uw Service Bus-naamruimte. U kunt aangepaste werkstromen activeren door berichten te verzenden naar uw Service Bus-wachtrij/-onderwerp wanneer een API wordt aangeroepen met behulp van het beleid voor verzenden-aanvragen. U kunt een Service Bus-wachtrij/onderwerp ook behandelen als uw back-end in een API. Zie Verifiëren met behulp van een beheerde identiteit voor toegang tot een Service Bus-wachtrij of -onderwerp voor een voorbeeldbeleid. U moet ook de volgende stappen uitvoeren: Schakel door het systeem toegewezen identiteit in op het API Management-exemplaar. Zie Beheerde identiteiten gebruiken in Azure API Management voor instructies. De identiteit toevoegen aan de rol Azure Service Bus-gegevenszender in de Service Bus-naamruimte
Azure IoT Central	Hiermee kan IoT Central gegevens exporteren naar Service Bus-wachtrijen of onderwerpen in uw Service Bus-naamruimte. U moet ook de volgende stappen uitvoeren: Door het systeem toegewezen identiteit inschakelen voor uw IoT Central-toepassing Voeg de identiteit toe aan de rol Azure Service Bus-gegevenszender in de Service Bus-naamruimte. Configureer vervolgens de Service Bus-exportbestemming in uw IoT Central-toepassing om verificatie op basis van identiteit te gebruiken.
Azure Digital Twins	Hiermee kan Azure Digital Twins gegevens uitgaan naar Service Bus-onderwerpen in uw Service Bus-naamruimte. U moet ook de volgende stappen uitvoeren: Schakel door het systeem toegewezen identiteit in voor uw Azure Digital Twins-exemplaar. Voeg de identiteit toe aan de rol Azure Service Bus-gegevenszender in de Service Bus-naamruimte. Configureer vervolgens een Azure Digital Twins-eindpunt of Azure Digital Twins-gegevensgeschiedenisverbinding die gebruikmaakt van de door het systeem toegewezen identiteit om te verifiëren. Zie Azure Digital Twins-gebeurtenissen routeren en eindpunten maken in Azure Digital Twins voor meer informatie over het configureren van eindpunten en gebeurtenisroutes naar Service Bus-resources vanuit Azure Digital Twins.
Azure Monitor (diagnostische instellingen en actiegroepen)	Hiermee kan Azure Monitor diagnostische gegevens en waarschuwingsmeldingen verzenden naar Service Bus in uw Service Bus-naamruimte. Azure Monitor kan gegevens lezen van en schrijven naar de Service Bus-naamruimte.
Azure Synapse	Hiermee kan Azure Synapse verbinding maken met de servicebus met behulp van de beheerde identiteit van de Synapse-werkruimte. Voeg de rol Azure Service Bus-gegevenszender, ontvanger of eigenaar toe aan de identiteit in de Service Bus-naamruimte.

De andere vertrouwde services voor Azure Service Bus vindt u hieronder:

• Azure Data Explorer
• Azure Health Data Services
• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Als u vertrouwde services toegang wilt geven tot uw naamruimte, gaat u naar het tabblad Openbare toegang op de pagina Netwerken en selecteert u Ja voor Vertrouwde Microsoft-services toestaan om deze firewall te omzeilen?.

Een privé-eindpunt toevoegen met Behulp van PowerShell

In het volgende voorbeeld ziet u hoe u Azure PowerShell gebruikt om een privé-eindpuntverbinding met een Service Bus-naamruimte te maken.

Uw privé-eindpunt en het virtueel netwerk moeten zich in dezelfde regio bevinden. Uw Service Bus-naamruimte mag zich in een andere regio bevinden. En uw privé-eindpunt maakt gebruik van een privé-IP-adres in uw virtuele netwerk.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Privé-eindpunten beheren met behulp van Azure Portal

Wanneer u een privé-eindpunt maakt, moet de verbinding worden goedgekeurd. Als de resource waarvoor u een privé-eindpunt maakt zich in uw directory bevindt, kunt u de verbindingsaanvraag goedkeuren als u over voldoende machtigingen beschikt. Als u verbinding maakt met een Azure-resource in een andere map, moet u wachten tot de eigenaar van die resource uw verbindingsaanvraag goedkeurt.

Er zijn vier inrichtingsstatussen:

Serviceactie	Status privé-eindpunt serviceconsument	Beschrijving
Geen	In behandeling	De verbinding wordt handmatig gemaakt en in afwachting van goedkeuring door de resource-eigenaar van de Private Link.
Goedkeuren	Goedgekeurd	De verbinding werd automatisch of handmatig goedgekeurd en is klaar om te worden gebruikt.
Verwerpen	Afgewezen	De verbinding werd afgewezen door de resource-eigenaar van de private link.
Verwijderen	Ontkoppeld	De verbinding is verwijderd door de resource-eigenaar van de private link, het privé-eindpunt wordt informatief en moet worden verwijderd voor opschoning.

Een privé-eindpuntverbinding goedkeuren, afwijzen of verwijderen

1. Meld u aan bij het Azure-portaal.
2. Typ in de zoekbalk Service Bus.
3. Selecteer de naamruimte die u wilt beheren.
4. Selecteer het tabblad Netwerken.
5. Zie de juiste sectie op basis van de bewerking die u wilt: goedkeuren, afwijzen of verwijderen.

Een privé-eindpuntverbinding goedkeuren

1. Als er verbindingen zijn die in behandeling zijn, ziet u een verbinding met In behandeling in de inrichtingsstatus.

2. Selecteer het privé-eindpunt dat u wilt goedkeuren

3. Selecteer de knop Goedkeuren .

   

4. Voer op de pagina Verbinding goedkeuren een optionele opmerking in en selecteer Ja. Als u Nee selecteert, gebeurt er niets.

   

5. U ziet nu de status van de verbinding in de lijst gewijzigd in Goedgekeurd.

   

Een privé-eindpuntverbinding weigeren

1. Als er privé-eindpuntverbindingen zijn die u wilt weigeren, of het nu een aanvraag in behandeling is of een bestaande verbinding die eerder is goedgekeurd, selecteert u de eindpuntverbinding en selecteert u de knop Weigeren .

   

2. Voer op de pagina Verbinding weigeren een optionele opmerking in en selecteer Ja. Als u Nee selecteert, gebeurt er niets.

   

3. U ziet nu de status van de verbinding in de lijst geweigerd.

   

Een privé-eindpuntverbinding verwijderen

1. Als u een privé-eindpuntverbinding wilt verwijderen, selecteert u deze in de lijst en selecteert u Verwijderen op de werkbalk.

   

2. Selecteer ja op de pagina Verbinding verwijderen om het verwijderen van het privé-eindpunt te bevestigen. Als u Nee selecteert, gebeurt er niets.

   

3. Als het goed is, ziet u dat de status is gewijzigd in Verbinding verbroken. Vervolgens verdwijnt het eindpunt uit de lijst.

Controleren of de verbinding van de Private Link werkt

Controleer of resources in het virtuele netwerk van het privé-eindpunt verbinding maken met uw Service Bus-naamruimte via een privé-IP-adres en dat ze de juiste privé-DNS-zoneintegratie hebben.

Maak eerst een nieuwe virtuele machine door de instructies te volgen in Een virtuele Windows-machine in de Azure Portal maken

Op het tabblad Netwerken :

1. Geef het virtuele netwerk en subnet op. U moet het virtuele netwerk selecteren waarop u het privé-eindpunt hebt geïmplementeerd.
2. Geef een openbare IP-resource op.
3. Selecteer Geen voor NIC-netwerkbeveiligingsgroep.
4. Selecteer Nee voor taakverdeling.

Maak verbinding met de virtuele machine, open de opdrachtregel en voer de volgende opdracht uit:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Als het goed is, ziet u een resultaat dat er als volgt uitziet.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Beperkingen en overwegingen bij het ontwerp

• Zie Prijs van Azure Private Link voor meer informatie over prijzen.
• Deze functie is beschikbaar in alle openbare Azure-regio's.
• Maximum aantal privé-eindpunten per Service Bus-naamruimte: 120.
• Het verkeer wordt geblokkeerd op de toepassingslaag, niet op de TCP-laag. Daarom ziet u DAT TCP-verbindingen of nslookup -bewerkingen slagen voor het openbare eindpunt, ook al is de openbare toegang uitgeschakeld.

Zie de Azure Private Link-service voor meer informatie: Beperkingen

Volgende stappen

• Meer informatie over Azure Private Link
• Meer informatie over Azure Service Bus