Zezwalaj na dostęp do przestrzeni nazw usługi Azure Event Hubs z określonych adresów IP lub zakresów
Domyślnie przestrzenie nazw usługi Event Hubs są dostępne z Internetu, o ile żądanie jest dostarczane z prawidłowym uwierzytelnianiem i autoryzacją. Zapora IP umożliwia dalsze ograniczenie go tylko do zestawu adresów IPv4 i IPv6 lub zakresów adresów w notacji CIDR (routing międzydomenowy bez klas).
Ta funkcja jest przydatna w scenariuszach, w których usługa Azure Event Hubs powinna być dostępna tylko z określonych dobrze znanych witryn. Reguły zapory umożliwiają konfigurowanie reguł akceptowania ruchu pochodzącego z określonych adresów IPv4 i IPv6. Jeśli na przykład używasz usługi Event Hubs z usługą Azure Express Route, możesz utworzyć regułę zapory, aby zezwolić na ruch tylko z lokalnych adresów IP infrastruktury.
Reguły zapory bazujące na adresach IP
Reguły zapory adresów IP można określić na poziomie przestrzeni nazw usługi Event Hubs. W związku z tym reguły mają zastosowanie do wszystkich połączeń od klientów przy użyciu dowolnego obsługiwanego protokołu. Każda próba połączenia z adresu IP, który nie jest zgodny z dozwoloną regułą IP w przestrzeni nazw usługi Event Hubs, jest odrzucana jako nieautoryzowana. Odpowiedź nie wspomina o regule adresu IP. Reguły filtrowania adresów IP są stosowane w kolejności, a pierwsza reguła zgodna z adresem IP określa akcję akceptowania lub odrzucania.
Ważne punkty
- Ta funkcja nie jest obsługiwana w warstwie Podstawowa.
- Włączenie reguł zapory dla przestrzeni nazw usługi Event Hubs domyślnie blokuje przychodzące żądania, chyba że żądania pochodzą z usługi działającej z dozwolonych publicznych adresów IP. Żądania, które są zablokowane, obejmują żądania z innych usług platformy Azure, z witryny Azure Portal, z usług rejestrowania i metryk itd. W ramach wyjątku można zezwolić na dostęp do zasobów usługi Event Hubs z określonych zaufanych usług nawet wtedy, gdy włączono filtrowanie adresów IP. Aby uzyskać listę zaufanych usług, zobacz Zaufane usługi firmy Microsoft.
- Określ co najmniej jedną regułę zapory ip lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwalać na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej. Jeśli nie ma reguł adresów IP i sieci wirtualnej, przestrzeń nazw może być dostępna za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).
Korzystanie z witryny Azure Portal
Podczas tworzenia przestrzeni nazw można zezwolić tylko na dostęp publiczny (ze wszystkich sieci) lub tylko prywatny (tylko za pośrednictwem prywatnych punktów końcowych) do przestrzeni nazw. Po utworzeniu przestrzeni nazw możesz zezwolić na dostęp z określonych adresów IP lub z określonych sieci wirtualnych (przy użyciu punktów końcowych usługi sieciowej).
Konfigurowanie dostępu publicznego podczas tworzenia przestrzeni nazw
Aby włączyć dostęp publiczny, wybierz pozycję Dostęp publiczny na stronie Sieć kreatora tworzenia przestrzeni nazw.
Po utworzeniu przestrzeni nazw wybierz pozycję Sieć w menu po lewej stronie przestrzeni nazw usługi Event Hubs. Zostanie wyświetlona opcja Wszystkie sieci . Możesz wybrać opcję Wybrane sieci i zezwolić na dostęp z określonych adresów IP lub określonych sieci wirtualnych. W następnej sekcji przedstawiono szczegółowe informacje dotyczące konfigurowania zapory ip w celu określenia adresów IP, z których jest dozwolony dostęp.
Konfigurowanie zapory ip dla istniejącej przestrzeni nazw
W tej sekcji pokazano, jak używać witryny Azure Portal do tworzenia reguł zapory adresów IP dla przestrzeni nazw usługi Event Hubs.
Przejdź do przestrzeni nazw usługi Event Hubs w witrynie Azure Portal.
Wybierz pozycję Sieć w obszarze Ustawienia w menu po lewej stronie.
Na stronie Sieć w obszarze Dostęp do sieci publicznej wybierz opcję Wybrane sieci, aby zezwolić na dostęp tylko z określonych adresów IP.
Poniżej przedstawiono więcej szczegółów na temat opcji dostępnych na stronie Dostęp do sieci publicznej:
Wyłączone. Ta opcja powoduje wyłączenie dowolnego publicznego dostępu do przestrzeni nazw. Przestrzeń nazw jest dostępna tylko za pośrednictwem prywatnych punktów końcowych.
Wybrane sieci. Ta opcja umożliwia publiczny dostęp do przestrzeni nazw przy użyciu klucza dostępu z wybranych sieci.
Ważne
W przypadku wybrania pozycji Wybrane sieci dodaj co najmniej jedną regułę zapory ip lub sieć wirtualną, która będzie miała dostęp do przestrzeni nazw. Wybierz pozycję Wyłączone , jeśli chcesz ograniczyć cały ruch do tej przestrzeni nazw tylko za pośrednictwem prywatnych punktów końcowych .
Wszystkie sieci (wartość domyślna). Ta opcja umożliwia dostęp publiczny ze wszystkich sieci przy użyciu klucza dostępu. W przypadku wybrania opcji Wszystkie sieci centrum zdarzeń akceptuje połączenia z dowolnego adresu IP (przy użyciu klucza dostępu). To ustawienie jest równoważne regule, która akceptuje zakres adresów IP 0.0.0.0/0.
Aby ograniczyć dostęp do określonych adresów IP, wybierz opcję Wybrane sieci , a następnie wykonaj następujące kroki:
W sekcji Zapora wybierz opcję Dodaj adres IP klienta, aby nadać bieżącemu adresowi IP klienta dostęp do przestrzeni nazw.
W polu Zakres adresów wprowadź określone adresy IPv4 lub IPv6 lub zakresy adresów w notacji CIDR.
Ważne
Gdy usługa zacznie obsługiwać połączenia IPv6 w przyszłości, a klienci będą automatycznie przełączać się na korzystanie z protokołu IPv6, klienci będą przerywać, jeśli masz tylko adresy IPv4, a nie adresy IPv6. W związku z tym zalecamy dodanie adresów IPv6 do listy dozwolonych adresów IP, aby klienci nie przerywali pracy, gdy usługa ostatecznie przełączy się do obsługi protokołu IPv6.
Określ, czy chcesz zezwolić zaufanym usługi firmy Microsoft na obejście tej zapory. Aby uzyskać szczegółowe informacje, zobacz Zaufane usługi firmy Microsoft.
Wybierz pozycję Zapisz na pasku narzędzi, aby zapisać ustawienia. Poczekaj kilka minut na wyświetlenie potwierdzenia w powiadomieniach portalu.
Uwaga
Aby ograniczyć dostęp do określonych sieci wirtualnych, zobacz Zezwalanie na dostęp z określonych sieci.
Zaufane usługi firmy Microsoft
Po włączeniu ustawienia Zezwalaj na zaufane usługi firmy Microsoft obejście tego ustawienia zapory następujące usługi w ramach tej samej dzierżawy otrzymują dostęp do zasobów usługi Event Hubs.
Zaufana usługa | Obsługiwane scenariusze użycia |
---|---|
Azure Event Grid | Umożliwia usłudze Azure Event Grid wysyłanie zdarzeń do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
Aby uzyskać więcej informacji, zobacz Dostarczanie zdarzeń przy użyciu tożsamości zarządzanej |
Azure Stream Analytics | Umożliwia zadaniu usługi Azure Stream Analytics odczytywanie danych z (danych wejściowych) lub zapisywanie danych w centrach zdarzeń (wyjściowych) w przestrzeni nazw usługi Event Hubs. Ważne: Zadanie usługi Stream Analytics należy skonfigurować tak, aby używało tożsamości zarządzanej do uzyskiwania dostępu do centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Używanie tożsamości zarządzanych do uzyskiwania dostępu do centrum zdarzeń z zadania usługi Azure Stream Analytics (wersja zapoznawcza). |
Azure IoT Hub | Umożliwia usłudze IoT Hub wysyłanie komunikatów do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
|
Usługa Azure API Management | Usługa API Management umożliwia wysyłanie zdarzeń do centrum zdarzeń w przestrzeni nazw usługi Event Hubs.
|
Azure Monitor (Ustawienia diagnostyczne i grupy akcji) | Umożliwia usłudze Azure Monitor wysyłanie informacji diagnostycznych i powiadomień o alertach do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Usługa Azure Monitor może odczytywać dane z centrum zdarzeń, a także zapisywać dane w centrum zdarzeń. |
Azure Synapse | Umożliwia usłudze Azure Synapse łączenie się z centrum zdarzeń przy użyciu tożsamości zarządzanej obszaru roboczego usługi Synapse. Dodaj rolę Nadawca, Odbiorca lub Właściciel usługi Azure Event Hubs do tożsamości w przestrzeni nazw usługi Event Hubs. |
Azure Data Explorer | Umożliwia usłudze Azure Data Explorer odbieranie zdarzeń z centrum zdarzeń przy użyciu tożsamości zarządzanej klastra. Należy wykonać następujące czynności:
|
Azure IoT Central | Umożliwia usłudze IoT Central eksportowanie danych do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
|
Azure Health Data Services | Umożliwia łącznikowi IoT dla usług Healthcare APIs pozyskiwanie danych urządzeń medycznych z przestrzeni nazw usługi Event Hubs i utrwalanie danych w skonfigurowanej usłudze Fast Healthcare Interoperability Resources (FHIR®). Łącznik IoT należy skonfigurować tak, aby korzystał z tożsamości zarządzanej w celu uzyskania dostępu do centrum zdarzeń. Aby uzyskać więcej informacji, zobacz Wprowadzenie do łącznika IoT — Interfejsy API usługi Azure Healthcare. |
Azure Digital Twins | Umożliwia usłudze Azure Digital Twins wyjście danych do centrów zdarzeń w przestrzeni nazw usługi Event Hubs. Należy również wykonać następujące czynności:
|
Inne zaufane usługi dla usługi Azure Event Hubs można znaleźć poniżej:
- Azure Arc
- Azure Kubernetes
- Uczenie maszynowe Azure
- Microsoft Purview
Używanie szablonu usługi Resource Manager
Ważne
Funkcja Zapora nie jest obsługiwana w warstwie Podstawowa.
Poniższy szablon usługi Resource Manager umożliwia dodanie reguły filtru IP do istniejącej przestrzeni nazw usługi Event Hubs.
Maska ip w szablonie jest pojedynczym adresem IPv4 lub blokiem adresów IP w notacji CIDR. Na przykład w notacji CIDR 70.37.104.0/24 reprezentuje 256 adresów IPv4 z 70.37.104.0 do 70.37.104.255, z 24 wskazującą liczbę znaczących bitów prefiksu dla zakresu.
Uwaga
Wartość domyślna elementu defaultAction
to Allow
. Podczas dodawania reguł sieci wirtualnej lub zapór upewnij się, że ustawiono defaultAction
wartość Deny
.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "contosoehub1333",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.EventHub/namespaces",
"apiVersion": "2022-01-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard",
"capacity": 1
},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true
}
},
{
"type": "Microsoft.EventHub/namespaces/authorizationrules",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.EventHub/namespaces/networkRuleSets",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
},
{
"ipMask": "172.72.157.204",
"action": "Allow"
}
]
}
}
]
}
Aby wdrożyć szablon, postępuj zgodnie z instrukcjami dotyczącymi usługi Azure Resource Manager.
Ważne
Jeśli nie ma reguł adresów IP i sieci wirtualnej, cały ruch przepływa do przestrzeni nazw, nawet jeśli ustawiono defaultAction
wartość deny
. Dostęp do przestrzeni nazw można uzyskać za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu). Określ co najmniej jedną regułę adresu IP lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej.
Interfejs wiersza polecenia platformy Azure
Użyj az eventhubs namespace network-rule-set
poleceń dodawania, wyświetlania, aktualizowania i usuwania, aby zarządzać regułami zapory adresów IP dla przestrzeni nazw usługi Event Hubs.
Korzystanie z programu Azure PowerShell
Set-AzEventHubNetworkRuleSet
Użyj polecenia cmdlet , aby dodać co najmniej jedną regułę zapory ip. Przykład z artykułu:
$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3
Domyślna akcja i dostęp do sieci publicznej
Interfejs API REST
Wartość domyślna właściwości była dla interfejsu defaultAction
API w wersji 2021-01-01-preview i starszych.Deny
Reguła odmowy nie jest jednak wymuszana, chyba że ustawiono filtry adresów IP lub reguły sieci wirtualnej. Oznacza to, że jeśli nie masz żadnych filtrów adresów IP ani reguł sieci wirtualnej, jest ona traktowana jako Allow
.
Od wersji interfejsu API 2021-06-01-preview wartość domyślna defaultAction
właściwości to Allow
, aby dokładnie odzwierciedlić wymuszanie po stronie usługi. Jeśli domyślna akcja jest ustawiona na Deny
, filtry adresów IP i reguły sieci wirtualnej są wymuszane. Jeśli domyślna akcja jest ustawiona na Allow
, filtry adresów IP i reguły sieci wirtualnej nie są wymuszane. Usługa zapamiętuje reguły, gdy je wyłączysz, a następnie ponownie włączysz.
Interfejs API w wersji 2021-06-01-preview wprowadza również nową właściwość o nazwie publicNetworkAccess
. Jeśli jest ustawiona na Disabled
wartość , operacje są ograniczone tylko do linków prywatnych. Jeśli jest ustawiona na Enabled
wartość , operacje są dozwolone za pośrednictwem publicznego Internetu.
Aby uzyskać więcej informacji na temat tych właściwości, zobacz Tworzenie lub aktualizowanie zestawu reguł sieci oraz Tworzenie lub aktualizowanie prywatnego punktu końcowego Połączenie ions.
Uwaga
Żadne z powyższych ustawień nie pomija weryfikacji oświadczeń za pośrednictwem sygnatury dostępu współdzielonego lub uwierzytelniania firmy Microsoft Entra. Sprawdzanie uwierzytelniania zawsze jest uruchamiane po zweryfikowaniu przez usługę kontroli sieci skonfigurowanych przez defaultAction
ustawienia , . publicNetworkAccess
privateEndpointConnections
Azure Portal
Witryna Azure Portal zawsze używa najnowszej wersji interfejsu API do pobierania i ustawiania właściwości. Jeśli skonfigurowano przestrzeń nazw przy użyciu wersji 2021-01-01-preview i wcześniejszej z ustawioną wartością Deny
defaultAction
i określono zerowe filtry adresów IP i reguły sieci wirtualnej, portal wcześniej sprawdziłby wybrane sieci na stronie Sieć przestrzeni nazw. Teraz sprawdza opcję Wszystkie sieci .
Następne kroki
Aby ograniczyć dostęp do usługi Event Hubs do sieci wirtualnych platformy Azure, zobacz następujący link: