Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por padrão, os usuários podem acessar namespaces de Hubs de Eventos da Internet, desde que a solicitação venha com autenticação e autorização válidas. Usando o firewall de IP, você pode restringir o acesso a apenas um conjunto de endereços IPv4 e IPv6 ou intervalos de endereços na notação CIDR (Roteamento de Inter-Domain sem classe ).
Esse recurso é útil em cenários em que os Hubs de Eventos do Azure devem ser acessíveis somente de determinados sites conhecidos. As regras de firewall permitem que você configure regras para aceitar o tráfego proveniente de endereços IPv4 e IPv6 específicos. Por exemplo, se você usar Os Hubs de Eventos com a Rota Expressa do Azure, poderá criar uma regra de firewall para permitir o tráfego somente de seus endereços IP de infraestrutura local.
Regras de firewall de IP
Você especifica as regras de firewall IP no nível do namespace dos Event Hubs. As regras se aplicam a todas as conexões de clientes usando qualquer protocolo com suporte. O namespace dos Hubs de Eventos rejeita qualquer tentativa de conexão de um endereço IP que não corresponda a uma regra de IP permitida como não autorizada. A resposta não menciona a regra de IP. As regras de firewall de IP são aplicadas em ordem e a primeira regra que corresponde ao endereço IP determina a ação de aceitação ou rejeição.
Pontos importantes
- Esse recurso não tem suporte na camada básica .
- Quando você ativa as regras de firewall para o namespace dos Hubs de Eventos, o firewall bloqueia as solicitações de entrada por padrão, a menos que as solicitações sejam originadas de um serviço que opera de endereços IP públicos permitidos. As solicitações bloqueadas incluem aquelas de outros serviços do Azure, do portal do Azure, de serviços de registro em log e métricas, entre outros. Como exceção, você pode permitir o acesso aos recursos dos Hubs de Eventos de determinados serviços confiáveis mesmo quando a filtragem de IP está habilitada. Para obter uma lista de serviços confiáveis, consulte Serviços Confiáveis da Microsoft.
- Especifique pelo menos uma regra de firewall de IP ou regra da rede virtual para o namespace para permitir o tráfego somente dos endereços IP ou da sub-rede de uma rede virtual especificada. Se não houver regras de IP e de rede virtual, os usuários poderão acessar o namespace pela Internet pública (usando a chave de acesso).
Configurar regras de firewall usando o portal do Azure
Ao criar um namespace, você pode permitir acesso somente público (de todas as redes) ou somente privado (somente por meio de pontos de extremidade privados) ao namespace. Depois de criar o namespace, você pode permitir o acesso de endereços IP específicos ou de redes virtuais específicas (usando pontos de extremidade de serviço de rede).
Configurar o acesso público ao criar um namespace
Para habilitar o acesso público, selecione Acesso público na página Rede do assistente de criação do namespace.
Depois de criar o namespace, selecione Rede no menu à esquerda da página Namespace dos Hubs de Eventos .
Por padrão, o acesso à rede pública está habilitado para o namespace para todas as redes.
Essa opção permite o acesso público de todas as redes usando uma chave de acesso. O namespace aceita conexões de qualquer endereço IP (usando a chave de acesso).
A próxima seção fornece detalhes sobre como configurar regras de firewall de IP para especificar os endereços IP dos quais o acesso é permitido.
Configurar o firewall de IP para um namespace existente
Esta seção mostra como usar o portal do Azure para criar regras de firewall de IP para um namespace dos Hubs de Eventos.
Navegue até o namespace dos Hubs de Eventos no portal do Azure.
Selecione Rede em Configurações no menu à esquerda.
Na página Rede , selecione Gerenciar em Acesso à Rede Pública.
Na página de acesso à rede pública , na seção Ação Padrão , selecione Habilitar em redes selecionadas para permitir o acesso somente de endereços IP especificados.
Important
Se você escolher redes selecionadas, adicione pelo menos uma regra de firewall de IP ou uma rede virtual que tenha acesso ao namespace. Escolha Desabilitado se quiser restringir todo o tráfego a esse namespace somente em pontos de extremidade privados .
Na seção Endereços IP , selecione Adicionar a opção de endereço IP do cliente para conceder ao SEU IP do cliente atual o acesso ao namespace.
Para o intervalo de endereços, insira endereços ou intervalos de endereços IPv4 ou IPv6 específicos na notação CIDR.
Important
Recomendamos que você adicione endereços IPv6 à lista de endereços IP permitidos agora para que seus clientes não interrompa quando o serviço eventualmente alterna para dar suporte apenas ao IPv6.
Na seção Exceção , especifique se deseja permitir que serviços confiáveis da Microsoft acessem esse recurso. Consulte os serviços confiáveis da Microsoft para obter detalhes.
Selecione Salvar na barra de ferramentas para salvar as configurações. Aguarde alguns minutos para que a confirmação seja exibida nas notificações do portal.
Note
Para restringir o acesso a redes virtuais específicas, confira Permitir acesso de redes específicas.
Serviços Microsoft confiáveis
Ao habilitar a configuração Permitir que os serviços confiáveis da Microsoft ignorem esse firewall, os serviços a seguir do mesmo locatário terão acesso aos recursos dos Hubs de Eventos.
| Serviço confiável | Cenários de uso compatíveis |
|---|---|
| Grade de Eventos do Azure | Permite que a Grade de Eventos do Azure envie eventos para hubs de eventos no seu namespace de Hubs de Eventos. Também é necessário executar as seguintes etapas:
Para obter mais informações, consulte Entrega de eventos com identidade gerenciada |
| Azure Stream Analytics | Permite que um trabalho do Azure Stream Analytics leia dados de (entrada) ou escreva dados em hubs de eventos (saída) no namespace dos Hubs de Eventos. Importante: o trabalho do Stream Analytics deve ser configurado para usar uma identidade gerenciada para acessar o hub de eventos. Para obter mais informações, consulte Usar identidades gerenciadas para acessar o hub de eventos de um trabalho do Azure Stream Analytics (versão prévia). |
| Hub IoT do Azure | Permite que o Hub IoT envie mensagens para os hubs de eventos no seu namespace de Hub de Eventos. Também é necessário executar as seguintes etapas:
|
| Gerenciamento de API do Azure | O serviço de Gerenciamento de API permite que enviar eventos para um hub de eventos em seu namespace de Hubs de Eventos.
|
| Azure Monitor (grupos de ações e configurações de diagnóstico) | Permite que Azure Monitor envie informações de diagnóstico e notificações de alerta aos hubs de eventos no seu namespace de Hubs de Eventos. O Azure Monitor pode ler a partir do hub de eventos, bem como gravar dados no hub de eventos. |
| Azure Synapse | Permite que o Azure Synapse se conecte ao hub de eventos usando a Identidade Gerenciada do Workspace do Synapse. Adicionar a função Remetente, Receptor ou Proprietário de Dados dos Hubs de Eventos do Azure à identidade no namespace dos Hubs de Eventos. |
| Azure Data Explorer | Permite que o Azure Data Explorer receba eventos do hub de eventos usando a Identidade Gerenciada do cluster. Você precisa executar as seguintes etapas:
|
| Azure IoT Central | Permite que o IoT Central exporte dados para os hubs de eventos no seu namespace do Hub de Eventos. Também é necessário executar as seguintes etapas:
|
| Serviços de Dados de Saúde do Azure | Permite que o conector IoT das APIs do Healthcare ingira dados de dispositivos médicos do seu namespace dos Hubs de Eventos e persista dados em seu serviço Fast Healthcare Interoperability Resources (FHIR®) configurado. O conector IoT deve ser configurado para usar uma identidade gerenciada para de acessar o hub de eventos. Para obter mais informações, confira Introdução ao conector IoT – APIs do Azure Healthcare. |
| Gêmeos Digitais do Azure | Permite que os Gêmeos Digitais do Azure enviem dados para os hubs de eventos no seu namespace dos Hubs de Eventos. Também é necessário executar as seguintes etapas:
|
Os outros serviços confiáveis para os Hubs de Eventos do Azure podem ser encontrados abaixo:
- Azure Arc
- Kubernetes do Azure
- Azure Machine Learning
- Microsoft Purview
Configurar regras de firewall usando modelos do Resource Manager
Important
Não há suporte para o recurso firewall na camada básica.
O modelo do Resource Manager a seguir permite adicionar uma regra de filtro IP a um namespace existente dos Hubs de Eventos.
O ipMask no modelo é um único endereço IPv4 ou um bloco de endereços IP na notação CIDR. Por exemplo, na notação CIDR 70.37.104.0/24, representa os 256 endereços IPv4 de 70.37.104.0 a 70.37.104.255, em que 24 indica o número de bits de prefixo significativos para o intervalo.
Note
O valor padrão de defaultAction é Allow. Ao adicionar regras de redes virtuais ou de firewalls, defina o valor de defaultAction como Deny.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "contosoehub1333",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.EventHub/namespaces",
"apiVersion": "2022-01-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Standard",
"tier": "Standard",
"capacity": 1
},
"properties": {
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true,
"isAutoInflateEnabled": false,
"maximumThroughputUnits": 0,
"kafkaEnabled": true
}
},
{
"type": "Microsoft.EventHub/namespaces/authorizationrules",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
"location": "eastus",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"rights": [
"Listen",
"Manage",
"Send"
]
}
},
{
"type": "Microsoft.EventHub/namespaces/networkRuleSets",
"apiVersion": "2022-01-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
},
{
"ipMask": "172.72.157.204",
"action": "Allow"
}
]
}
}
]
}
Para implantar o modelo, siga as instruções para o Azure Resource Manager.
Important
Se você não adicionar regras de IP ou de rede virtual, todo o tráfego flui para o namespace, mesmo se você configurar o defaultAction para deny. Os usuários podem acessar o namespace pela Internet pública (usando a chave de acesso). Para permitir o tráfego somente dos endereços IP especificados ou da sub-rede de uma rede virtual, especifique pelo menos uma regra de IP ou regra de rede virtual para o namespace.
Configurar regras de firewall usando a CLI do Azure
Use os comandos adicionar, listar, atualizar e remover do az eventhubs namespace network-rule-setpara gerenciar regras de firewall de IP para um namespace dos Hubs de Eventos.
Configurar regras de firewall usando o Azure PowerShell
Use o Set-AzEventHubNetworkRuleSet cmdlet para adicionar uma ou mais regras de firewall de IP. Um exemplo do artigo:
$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3
Acesso à rede pública e ação padrão
API REST
Para versões de API 2021-01-01-preview e anteriores, o valor padrão da defaultAction propriedade é Deny. No entanto, o serviço não impõe a regra de negação, a menos que você defina filtros IP ou regras de rede virtual. Se você não definir nenhum filtro IP ou regras de rede virtual, o serviço tratará a ação padrão como Allow.
Da versão da API de 1º de junho de 2021 (versão prévia) em diante, o valor padrão da propriedade defaultAction é Allow, que reflete com precisão a imposição do lado do serviço. Se você definir a ação padrão como Deny, o serviço imporá filtros IP e regras de rede virtual. Se você definir a ação padrão para Allow, o serviço não imporá filtros IP e regras de rede virtual. O serviço se lembra das regras quando você as desliga e volta a ativá-las.
A versão da API 2021-06-01-preview em diante também apresenta uma nova propriedade chamada publicNetworkAccess. Se você definir essa propriedade como Disabled, as operações serão restritas somente a links privados. Se você definir como Enabled, as operações serão permitidas na Internet pública.
Para obter mais informações sobre essas propriedades, consulte Criar ou atualizar o conjunto de regras de rede e criar ou atualizar conexões de ponto de extremidade privado.
Note
Nenhuma das configurações anteriores ignora a validação de declarações por meio de SAS ou autenticação do Microsoft Entra. A verificação de autenticação sempre é executada após o serviço validar as verificações de rede que as configurações defaultAction, publicNetworkAccess, e privateEndpointConnections configuram.
portal do Azure
O portal do Azure sempre usa a versão mais recente da API para obter e definir propriedades. Se você configurou seu namespace usando 2021-01-01-preview e versões anteriores, com o defaultAction definido em Deny, e especificou zero filtros de IP e regras de rede virtual, o portal anteriormente verificava Redes Selecionadas na página Networking do seu namespace. Agora, ele verifica a opção Todas as redes .
Próximas etapas
Para restringir o acesso aos Hubs de Eventos às redes virtuais do Azure, consulte o seguinte artigo: