Zezwalaj na dostęp do przestrzeni nazw usługi Azure Service Bus z określonych adresów IP lub zakresów
Domyślnie przestrzenie nazw usługi Service Bus są dostępne z Internetu, o ile żądanie zawiera prawidłowe uwierzytelnianie i autoryzację. Zapora ip umożliwia ograniczenie ruchu przychodzącego do zestawu adresów IPv4 lub zakresów adresów IPv4 (w notacji CIDR (routing międzydomenowy bezklasowy).
Ta funkcja jest przydatna w scenariuszach, w których usługa Azure Service Bus powinna być dostępna tylko z niektórych dobrze znanych witryn. Reguły zapory umożliwiają konfigurowanie reguł akceptowania ruchu pochodzącego z określonych adresów IPv4. Jeśli na przykład używasz usługi Service Bus z usługą Azure Express Route, możesz utworzyć regułę zapory, aby zezwolić na ruch tylko z adresów IP infrastruktury lokalnej lub adresów firmowej bramy translatora adresów sieciowych.
Reguły zapory bazujące na adresach IP
Reguły zapory adresów IP są stosowane na poziomie przestrzeni nazw usługi Service Bus. W związku z tym reguły mają zastosowanie do wszystkich połączeń od klientów przy użyciu dowolnego obsługiwanego protokołu (AMQP (5671) i HTTPS (443)). Wszelkie próby nawiązania połączenia z adresu IP, który nie jest zgodny z dozwoloną regułą IP w przestrzeni nazw usługi Service Bus, są odrzucane jako nieautoryzowane. Odpowiedź nie wspomina o regule adresu IP. Reguły filtrowania adresów IP są stosowane w kolejności, a pierwsza reguła zgodna z adresem IP określa akcję akceptowania lub odrzucania.
Ważne punkty
Sieci wirtualne są obsługiwane tylko w warstwie Premium usługi Service Bus. Jeśli uaktualnienie do warstwy Premium nie jest opcją, można użyć reguł zapory adresów IP. Zalecamy zabezpieczenie tokenu sygnatury dostępu współdzielonego (SAS) i udostępnianie go tylko autoryzowanym użytkownikom. Aby uzyskać informacje na temat uwierzytelniania sygnatury dostępu współdzielonego, zobacz Uwierzytelnianie i autoryzacja.
Określ co najmniej jedną regułę zapory ip lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwalać na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej. Jeśli nie ma reguł adresów IP i sieci wirtualnej, przestrzeń nazw może być dostępna za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).
Implementowanie reguł zapory może uniemożliwić innym usługom platformy Azure interakcję z usługą Service Bus. Wyjątkiem jest zezwolenie na dostęp do zasobów usługi Service Bus z określonych zaufanych usług nawet po włączeniu filtrowania adresów IP. Aby uzyskać listę zaufanych usług, zobacz Zaufane usługi.
Następujące usługi firmy Microsoft muszą znajdować się w sieci wirtualnej
- Azure App Service
- Azure Functions
Uwaga
Zostanie wyświetlona karta Sieć tylko dla przestrzeni nazw w warstwie Premium . Aby ustawić reguły zapory adresów IP dla innych warstw, użyj szablonów usługi Azure Resource Manager, interfejsu wiersza polecenia platformy Azure, programu PowerShell lub interfejsu API REST.
Korzystanie z witryny Azure Portal
Podczas tworzenia przestrzeni nazw można zezwolić tylko na dostęp publiczny (ze wszystkich sieci) lub tylko prywatny (tylko za pośrednictwem prywatnych punktów końcowych) do przestrzeni nazw. Po utworzeniu przestrzeni nazw możesz zezwolić na dostęp z określonych adresów IP lub z określonych sieci wirtualnych (przy użyciu punktów końcowych usługi sieciowej).
Konfigurowanie dostępu publicznego podczas tworzenia przestrzeni nazw
Aby włączyć dostęp publiczny, wybierz pozycję Dostęp publiczny na stronie Sieć kreatora tworzenia przestrzeni nazw.
Po utworzeniu przestrzeni nazw wybierz pozycję Sieć w menu po lewej stronie przestrzeni nazw usługi Service Bus. Zostanie wyświetlona opcja Wszystkie sieci . Możesz wybrać opcję Wybrane sieci i zezwolić na dostęp z określonych adresów IP lub określonych sieci wirtualnych. W następnej sekcji przedstawiono szczegółowe informacje dotyczące konfigurowania zapory ip w celu określenia adresów IP, z których jest dozwolony dostęp.
Konfigurowanie zapory ip dla istniejącej przestrzeni nazw
W tej sekcji pokazano, jak używać witryny Azure Portal do tworzenia reguł zapory adresów IP dla przestrzeni nazw usługi Service Bus.
Przejdź do przestrzeni nazw usługi Service Bus w witrynie Azure Portal.
W menu po lewej stronie wybierz opcję Sieć w obszarze Ustawienia.
Uwaga
Zostanie wyświetlona karta Sieć tylko dla przestrzeni nazw w warstwie Premium .
Na stronie Sieć w obszarze Dostęp do sieci publicznej można ustawić jedną z trzech następujących opcji. Wybierz opcję Wybrane sieci , aby zezwolić na dostęp tylko z określonych adresów IP.
Wyłączone. Ta opcja powoduje wyłączenie dowolnego publicznego dostępu do przestrzeni nazw. Przestrzeń nazw jest dostępna tylko za pośrednictwem prywatnych punktów końcowych.
Wybierz, czy chcesz zezwolić zaufanym usługi firmy Microsoft na obejście zapory. Aby uzyskać listę zaufanych usługi firmy Microsoft dla usługi Azure Service Bus, zobacz sekcję Trusted usługi firmy Microsoft (Zaufane usługi firmy Microsoft).
Wybrane sieci. Ta opcja umożliwia publiczny dostęp do przestrzeni nazw przy użyciu klucza dostępu z wybranych sieci.
Ważne
W przypadku wybrania pozycji Wybrane sieci dodaj co najmniej jedną regułę zapory ip lub sieć wirtualną, która będzie miała dostęp do przestrzeni nazw. Wybierz pozycję Wyłączone , jeśli chcesz ograniczyć cały ruch do tej przestrzeni nazw tylko za pośrednictwem prywatnych punktów końcowych .
Wszystkie sieci (wartość domyślna). Ta opcja umożliwia dostęp publiczny ze wszystkich sieci przy użyciu klucza dostępu. W przypadku wybrania opcji Wszystkie sieci usługa Service Bus akceptuje połączenia z dowolnego adresu IP (przy użyciu klucza dostępu). To ustawienie jest równoważne regule, która akceptuje zakres adresów IP 0.0.0.0/0.
Aby zezwolić na dostęp tylko z określonego adresu IP, wybierz opcję Wybrane sieci , jeśli nie została jeszcze wybrana. W sekcji Zapora wykonaj następujące kroki:
Wybierz opcję Dodaj adres IP klienta, aby nadać bieżącemu adresowi IP klienta dostęp do przestrzeni nazw.
W polu Zakres adresów wprowadź określony adres IPv4 lub zakres adresu IPv4 w notacji CIDR.
Określ, czy chcesz zezwolić zaufanym usługi firmy Microsoft na obejście tej zapory. Aby uzyskać listę zaufanych usługi firmy Microsoft dla usługi Azure Service Bus, zobacz sekcję Trusted usługi firmy Microsoft (Zaufane usługi firmy Microsoft).
Ostrzeżenie
Jeśli wybierzesz opcję Wybrane sieci i nie dodasz co najmniej jednej reguły zapory IP ani sieci wirtualnej na tej stronie, dostęp do przestrzeni nazw będzie można uzyskać za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).
Wybierz pozycję Zapisz na pasku narzędzi, aby zapisać ustawienia. Poczekaj kilka minut na wyświetlenie potwierdzenia w powiadomieniach portalu.
Uwaga
Aby ograniczyć dostęp do określonych sieci wirtualnych, zobacz Zezwalanie na dostęp z określonych sieci.
Zaufane usługi firmy Microsoft
Po włączeniu ustawienia Zezwalaj na zaufane usługi firmy Microsoft obejście tego ustawienia zapory następujące usługi otrzymują dostęp do zasobów usługi Service Bus.
| Zaufana usługa | Obsługiwane scenariusze użycia |
|---|---|
| Azure Event Grid | Umożliwia usłudze Azure Event Grid wysyłanie zdarzeń do kolejek lub tematów w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:
Aby uzyskać więcej informacji, zobacz Dostarczanie zdarzeń przy użyciu tożsamości zarządzanej |
| Azure Stream Analytics | Umożliwia zadanie usługi Azure Stream Analytics wyprowadzanie danych do kolejek usługi Service Bus do tematów. Ważne: Zadanie usługi Stream Analytics należy skonfigurować tak, aby używało tożsamości zarządzanej do uzyskiwania dostępu do przestrzeni nazw usługi Service Bus. Dodaj tożsamość do roli Nadawca danych usługi Azure Service Bus w przestrzeni nazw usługi Service Bus. |
| Azure IoT Hub | Umożliwia usłudze IoT Hub wysyłanie komunikatów do kolejek lub tematów w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:
|
| Usługa Azure API Management | Usługa API Management umożliwia wysyłanie komunikatów do kolejki/tematu usługi Service Bus w przestrzeni nazw usługi Service Bus.
|
| Azure IoT Central | Umożliwia usłudze IoT Central eksportowanie danych do kolejek lub tematów usługi Service Bus w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:
|
| Azure Digital Twins | Umożliwia usłudze Azure Digital Twins wyjście danych do tematów usługi Service Bus w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:
|
| Azure Monitor (Ustawienia diagnostyczne i grupy akcji) | Umożliwia usłudze Azure Monitor wysyłanie informacji diagnostycznych i powiadomień o alertach do usługi Service Bus w przestrzeni nazw usługi Service Bus. Usługa Azure Monitor może odczytywać i zapisywać dane w przestrzeni nazw usługi Service Bus. |
| Azure Synapse | Umożliwia usłudze Azure Synapse nawiązywanie połączenia z usługą Service Bus przy użyciu tożsamości zarządzanej obszaru roboczego usługi Synapse. Dodaj rolę Nadawca danych, Odbiorca lub Właściciel usługi Azure Service Bus do tożsamości w przestrzeni nazw usługi Service Bus. |
Inne zaufane usługi dla usługi Azure Service Bus można znaleźć poniżej:
- Azure Data Explorer
- Azure Health Data Services
- Azure Arc
- Azure Kubernetes
- Uczenie maszynowe Azure
- Microsoft Purview
Używanie szablonu usługi Resource Manager
Ta sekcja zawiera przykładowy szablon usługi Azure Resource Manager, który dodaje sieć wirtualną i regułę zapory do istniejącej przestrzeni nazw usługi Service Bus.
ipMask to pojedynczy adres IPv4 lub blok adresów IP w notacji CIDR. Na przykład w notacji CIDR 70.37.104.0/24 reprezentuje 256 adresów IPv4 z 70.37.104.0 do 70.37.104.255, z 24 wskazującą liczbę znaczących bitów prefiksu dla zakresu.
Uwaga
Wartość domyślna elementu defaultAction to Allow. Podczas dodawania reguł sieci wirtualnej lub zapór upewnij się, że ustawiono defaultAction wartość Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "mypremiumnamespace",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.ServiceBus/namespaces",
"apiVersion": "2022-10-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Premium",
"tier": "Premium",
"capacity": 1
},
"properties": {
"premiumMessagingPartitions": 1,
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true
}
},
{
"type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
"apiVersion": "2022-10-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Aby wdrożyć szablon, postępuj zgodnie z instrukcjami dotyczącymi usługi Azure Resource Manager.
Ważne
Jeśli nie ma reguł adresów IP i sieci wirtualnej, cały ruch przepływa do przestrzeni nazw, nawet jeśli ustawiono defaultAction wartość deny. Dostęp do przestrzeni nazw można uzyskać za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu). Określ co najmniej jedną regułę adresu IP lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej.
Interfejs wiersza polecenia platformy Azure
Użyj az servicebus namespace network-rule-set poleceń dodawania, wyświetlania listy, aktualizowania i usuwania, aby zarządzać regułami zapory adresów IP dla przestrzeni nazw usługi Service Bus.
Korzystanie z programu Azure PowerShell
Użyj następujących poleceń programu Azure PowerShell, aby dodawać, wyświetlać, usuwać, aktualizować i usuwać reguły zapory adresów IP.
New-AzServiceBusIPRuleConfigiSet-AzServiceBusNetworkRuleSetrazem, aby dodać regułę zapory ip.
Domyślna akcja i dostęp do sieci publicznej
Interfejs API REST
Wartość domyślna właściwości była dla interfejsu defaultAction API w wersji 2021-01-01-preview i starszych.Deny Reguła odmowy nie jest jednak wymuszana, chyba że ustawiono filtry adresów IP lub reguły sieci wirtualnej. Oznacza to, że jeśli nie masz żadnych filtrów adresów IP ani reguł sieci wirtualnej, jest ona traktowana jako Allow.
Od wersji interfejsu API 2021-06-01-preview wartość domyślna defaultAction właściwości to Allow, aby dokładnie odzwierciedlić wymuszanie po stronie usługi. Jeśli domyślna akcja jest ustawiona na Deny, filtry adresów IP i reguły sieci wirtualnej są wymuszane. Jeśli domyślna akcja jest ustawiona na Allow, filtry adresów IP i reguły sieci wirtualnej nie są wymuszane. Usługa zapamiętuje reguły, gdy je wyłączysz, a następnie ponownie włączysz.
Interfejs API w wersji 2021-06-01-preview wprowadza również nową właściwość o nazwie publicNetworkAccess. Jeśli jest ustawiona na Disabledwartość , operacje są ograniczone tylko do linków prywatnych. Jeśli jest ustawiona na Enabledwartość , operacje są dozwolone za pośrednictwem publicznego Internetu.
Aby uzyskać więcej informacji na temat tych właściwości, zobacz Tworzenie lub aktualizowanie zestawu reguł sieci oraz Tworzenie lub aktualizowanie prywatnego punktu końcowego Połączenie ions.
Uwaga
Żadne z powyższych ustawień nie pomija weryfikacji oświadczeń za pośrednictwem sygnatury dostępu współdzielonego lub uwierzytelniania firmy Microsoft Entra. Sprawdzanie uwierzytelniania zawsze jest uruchamiane po zweryfikowaniu przez usługę kontroli sieci skonfigurowanych przez defaultActionustawienia , . publicNetworkAccessprivateEndpointConnections
Azure Portal
Witryna Azure Portal zawsze używa najnowszej wersji interfejsu API do pobierania i ustawiania właściwości. Jeśli wcześniej skonfigurowano przestrzeń nazw przy użyciu wersji 2021-01-01-preview i wcześniejszej z ustawioną wartością defaultActionDenyi określono zerowe filtry adresów IP i reguły sieci wirtualnej, portal wcześniej sprawdziłby wybrane sieci na stronie Sieć przestrzeni nazw. Teraz sprawdza opcję Wszystkie sieci .
Następne kroki
Aby ograniczyć dostęp do usługi Service Bus do sieci wirtualnych platformy Azure, zobacz następujący link: