Разрешение доступа к пространствам имен служебной шины Azure через частные конечные точки
Приватный канал Azure обеспечивает доступ к службам Azure (например, к Служебной шине Azure, службе хранилища Azure и Azure Cosmos DB), а также размещенным в Azure службам клиентов или партнеров через частную конечную точку в виртуальной сети.
Частная конечная точка — это сетевой интерфейс, который защищенно и надежно подключается к службе через Приватный канал Azure. Частная конечная точка использует частный IP-адрес из виртуальной сети, по сути, перемещая службу в виртуальную сеть. Весь трафик к службе может маршрутизироваться через частную конечную точку, поэтому шлюзы, устройства преобразования сетевых адресов (NAT), подключения ExpressRoute и VPN, а также общедоступные IP-адреса не требуются. Трафик между виртуальной сетью и службой проходит через магистральную сеть Майкрософт. Это позволяет избежать рисков общедоступного Интернета. Вы можете подключиться к экземпляру ресурса Azure, обеспечивая наивысшую степень детализации в управлении доступом.
Дополнительные сведения см. в статье Что такое Приватный канал Azure.
Важные аспекты
Эта функция поддерживается для Служебной шины Azure категории Премиум. Дополнительные сведения о категории "Премиум" см. в статье Категории обмена сообщениями через служебную шину "Премиум" и "Стандартный".
Реализация частных конечных точек может предотвратить взаимодействие других служб Azure со Служебной шиной. В качестве исключения можно разрешить доступ к ресурсам Служебной шины из определенных доверенных служб, даже если включены частные конечные точки. Список доверенных служб см. в разделе Доверенные службы.
В виртуальной сети должны присутствовать следующие службы Майкрософт:
- Служба приложений Azure
- Функции Azure
Укажите как минимум одно правило IP-адреса или правило виртуальной сети для пространства имен, разрешающее трафик только с указанных IP-адресов или подсети виртуальной сети. Если правил IP-адресов и виртуальных сетей нет, доступ к пространству имен можно получить через общедоступный Интернет (используя ключ доступа).
Добавление частной конечной точки с помощью портала Azure
Необходимые компоненты
Чтобы интегрировать пространство имен служебная шина с Приватный канал Azure, вам потребуются следующие сущности или разрешения:
- Пространство имен служебной шины.
- Виртуальная сеть Azure.
- Подсеть в виртуальной сети. Можно использовать подсеть, заданную по умолчанию.
- Разрешения владельца или участника для пространства имен Служебной шины и виртуальной сети.
Частная конечная точка и виртуальная сеть должны находиться в одном регионе. При выборе региона для частной конечной точки с помощью портала будут автоматически фильтроваться только виртуальные сети в этом регионе. Пространство имен Служебной шины может находиться в другом регионе. Частная конечная точка использует частный IP-адрес в виртуальной сети.
Настройка закрытого доступа при создании пространства имен
При создании пространства имен можно разрешить доступ только к пространству имен только общедоступного (из всех сетей) или только приватного (только через частные конечные точки).
Если выбрать параметр приватного доступа на странице "Сеть " мастера создания пространства имен, на странице можно добавить частную конечную точку, нажав кнопку "Частная конечная точка ". Дополнительные инструкции по добавлению частной конечной точки см. в следующем разделе.
Настройка закрытого доступа для существующего пространства имен
Если у вас уже есть пространство имен, можно создать частную конечную точку, выполнив следующие действия.
Войдите на портал Azure.
В строке поиска введите Служебная шина.
Выберите из списка пространство имен, для которого нужно добавить частную конечную точку.
В левом меню выберите опцию Сеть в разделе Параметры.
Примечание.
Вкладка Сеть отображается только для пространств имен Премиум.
На странице "Сеть" для доступа к общедоступной сети выберите "Отключено", если требуется доступ к пространству имен только через частные конечные точки.
Чтобы разрешить доверенным службы Майкрософт обойти этот брандмауэр, выберите "Да", если вы хотите разрешить доверенным службы Майкрософт обойти этот брандмауэр.
Чтобы разрешить доступ к пространству имен через частные конечные точки, выберите вкладку подключения к частной конечной точке в верхней части страницы.
Нажмите кнопку + Частная конечная точка в верхней части страницы.
На странице Базовые выполните следующие действия.
Выберите подписку Azure, в которой нужно создать частную конечную точку.
Выберите группу ресурсов для ресурса частной конечной точки.
Укажите имя частной конечной точки.
Введите имя сетевого интерфейса.
Выберите регион частной конечной точки. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть, но может находиться в другом регионе от ресурса приватного канала, к которому вы подключаетесь.
Нажмите кнопку Далее: ресурс> в нижней части страницы.
На странице Ресурс просмотрите параметры и нажмите кнопку Далее: виртуальная сеть в нижней части страницы.
На странице Виртуальная сеть выберите подсеть в виртуальной сети, в которой требуется развернуть частную конечную точку.
- Выберите виртуальную сеть. В раскрывающемся списке отображаются только виртуальные сети в выбранных сейчас подписке и расположении.
- Выберите подсеть в выбранной виртуальной сети.
- Обратите внимание, что политика сети для частных конечных точек отключена. Если вы хотите включить ее, выберите Редактировать, измените параметр и нажмите Сохранить.
- Для параметра Конфигурация частного IP-адреса по умолчанию выбран параметр Динамическое выделение IP-адреса. Если вы хотите назначить статический IP-адрес, выберите Статическое выделение IP-адреса*.
- Для группы безопасности приложений выберите существующую группу безопасности приложений или создайте группу, которая будет связана с частной конечной точкой.
- Нажмите кнопку Далее: DNS> в нижней части страницы.
На странице DNS выберите, следует ли интегрировать частную конечную точку с частной зоной DNS, а затем нажмите Далее: теги.
На странице Теги создайте теги (имена и значения), которые нужно связать с ресурсом частной конечной точки. В нижней части страницы нажмите на кнопку Проверка и создание.
На странице Проверка и создание проверьте все параметры и нажмите Создать, чтобы создать частную конечную точку.
Убедитесь, что частная конечная точка создана. Если вы являетесь владельцем ресурса и выбрали Подключение к ресурсу Azure в моем каталоге для метода Подключения, подключение конечной точки должно быть автоматически утверждено. Если она находится в состоянии ожидания, см. раздел Управление частными конечными точками с помощью портала Azure.
Доверенные службы Майкрософт
При включении параметра Разрешить доверенным службам Майкрософт обходить этот параметр брандмауэра доступ к ресурсам служебной шины предоставляется следующим службам.
Доверенная служба | Поддерживаемые сценарии использования |
---|---|
Сетку событий Azure | Позволяет службе "Сетка событий Azure" отсылать события в очереди или топики в пространстве имен служебной шины. Кроме того, необходимо выполнить следующие действия.
Дополнительные сведения см. в разделе Доставка событий с помощью управляемого удостоверения. |
Azure Stream Analytics | Позволяет заданию Azure Stream Analytics выводить данные для служебная шина очередей в разделы. Важно. Задание Stream Analytics должно быть настроено для использования управляемого удостоверения для доступа к пространству имен служебная шина. Добавьте удостоверения в роль Отправитель данных служебной шины Azure в пространстве имен "Служебная шина". |
Центр Интернета вещей Azure | Позволяет центру Интернета вещей отсылать сообщения в очереди или разделы в пространстве имен служебной шины. Кроме того, необходимо выполнить следующие действия.
|
Управление API Azure | Служба управления API позволяет отправить сообщения в очередь или топик служебной шины в пространстве имен служебной шины.
|
Azure IoT Central | Позволяет службе IoT Central экспортировать данные в очереди или разделы в пространстве имен служебной шины. Вам также необходимо сделать следующие шаги:
|
Azure Digital Twins | Позволяет Azure Digital Twins отправлять данные в служебная шина разделы в пространстве имен служебная шина. Кроме того, необходимо выполнить следующие действия.
|
Azure Monitor (параметры диагностики и группы действий) | Позволяет Azure Monitor отправлять диагностические сведения и уведомления об оповещениях в служебная шина в пространстве имен служебная шина. Azure Monitor может считывать и записывать данные в пространство имен служебная шина. |
Azure Synapse | Позволяет Azure Synapse подключаться к служебной шине с помощью управляемого удостоверения рабочей области Synapse. Добавьте роль Служебная шина Azure отправителя данных, получателя или владельца в удостоверение в пространстве имен служебная шина. |
Ниже приведены другие доверенные службы для Служебная шина Azure:
- Azure Data Explorer
- Службы Azure для работы с медицинскими данными
- Azure Arc
- Azure Kubernetes
- Машинное обучение Azure
- Microsoft Purview
- Microsoft Defender для облака
- Центр поставщика Azure
Чтобы разрешить доверенным службам доступ к пространству имен, перейдите на вкладку "Общедоступный доступ" на странице "Сеть" и выберите "Да" для разрешения доверенного службы Майкрософт, чтобы обойти этот брандмауэр?.
Добавление частной конечной точки с помощью PowerShell
В следующем примере показано, как использовать Azure PowerShell для создания подключение частной конечной точки к пространству имен Служебной шины.
Частная конечная точка и виртуальная сеть должны находиться в одном регионе. Пространство имен Служебной шины может находиться в другом регионе. Частная конечная точка использует частный IP-адрес в виртуальной сети.
$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"
# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation
# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $vnetlocation `
-Name $vnetName `
-AddressPrefix 10.0.0.0/16
# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name $subnetName `
-AddressPrefix 10.0.0.0/24 `
-PrivateEndpointNetworkPoliciesFlag "Disabled" `
-VirtualNetwork $virtualNetwork
# update virtual network
$virtualNetwork | Set-AzVirtualNetwork
# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -
# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $peConnectionName `
-PrivateLinkServiceId $namespaceResource.ResourceId `
-GroupId "namespace"
# get subnet object that you will use in the next step
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
| Where-Object {$_.Name -eq $subnetName}
# now, create private endpoint
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName `
-Name $vnetName `
-Location $vnetlocation `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection
(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties
Управление частными конечными точками с помощью портала Azure
При создании частной конечной точки подключение должно быть утверждено. Если ресурс, для которого создается частная конечная точка, находится в вашем каталоге, вы можете утвердить запрос на подключение, если у вас есть необходимые разрешения. При подключении к ресурсу Azure в другом каталоге необходимо дождаться, пока владелец этого ресурса утвердит запрос на подключение.
Существует четыре состояния подготовки:
Действие в службе | Состояние частной конечной точки объекта-получателя службы | Description |
---|---|---|
Нет | Не завершено | Подключение создается вручную и ожидает утверждения от владельца ресурса Приватного канала. |
Утвердить | Утвержденная | Подключение утверждено автоматически или вручную и готово к использованию. |
Отклонить | Аннулировано | Подключение отклонил владелец ресурса Приватного канала. |
Удалить | Отключено | Подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки. |
Утверждение, отклонение или удаление подключения к частной конечной точке
- Войдите на портал Azure.
- В строке поиска введите Служебная шина.
- Выберите пространство имен для управления.
- Перейдите на вкладку Сеть.
- См. соответствующий раздел на основе операции, которую вы хотите: утвердить, отклонить или удалить.
Утверждение подключения частной конечной точки
Если в состоянии подготовки есть какие-либо подключения, вы увидите подключение, указанное в состоянии подготовки.
Выберите частную конечную точку, которую вы хотите утвердить.
Нажмите кнопку Утвердить.
На странице Утвердить подключение введите комментарий по желанию и нажмите Да. Если выбрать Нет, ничего не произойдет.
Вы увидите, что состояние подключения в списке изменилось на Утверждено.
Отклонение подключения к частной конечной точке
Если есть какие-либо подключения к частной конечной точке, которые вы хотите отклонить, будь то ожидающий запрос или существующее подключение, утвержденное ранее, выберите подключение конечной точки и нажмите кнопку "Отклонить ".
На странице Отклонить подключение по желанию можно ввести комментарий, после чего нажать Да. Если выбрать Нет, ничего не произойдет.
Вы увидите, что состояние подключения в списке изменилось на Отклонено.
Удаление подключения к частной конечной точке
Чтобы удалить подключение к частной конечной точке, выберите ее в списке и нажмите Удалить на панели инструментов.
На странице Удалить подключение нажмите Да, чтобы подтвердить удаление частной конечной точки. Если выбрать Нет, ничего не произойдет.
Вы увидите, что состояние изменилось на Отключено. Затем конечная точка исчезает из списка.
Проверка работоспособности подключения Приватного канала
Убедитесь, что ресурсы в виртуальной сети частной конечной точки подключаются к пространству имен Служебной шины по частному IP-адресу и что они корректно интегрируются с частной зоной DNS.
Сначала создайте виртуальную машину, выполнив действия, описанные в статье Краткое руководство. Создание виртуальной машины Windows на портале Azure.
На вкладке Сеть выполните следующее.
- Укажите виртуальную сеть и подсеть. Необходимо выбрать виртуальную сеть, в которой развернута частная конечная точка.
- Укажите ресурс общедоступного IP-адреса.
- В списке Группа безопасности сети сетевого адаптера выберите Нет.
- В поле Балансировка нагрузки выберите Нет.
Подключитесь к виртуальной машине, откройте командную строку и выполните следующую команду:
nslookup <service-bus-namespace-name>.servicebus.windows.net
Должен появиться следующий результат.
Non-authoritative answer:
Name: <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address: 10.0.0.4 (private IP address associated with the private endpoint)
Aliases: <service-bus-namespace-name>.servicebus.windows.net
Проблемы и ограничения разработки
- Сведения о ценах на службу "Приватный канал Azure" см. здесь.
- Эта возможность есть во всех общедоступных регионах Azure.
- Максимальное количество частных конечных точек на служебная шина пространстве имен: 120.
- Трафик блокируется на уровне приложения, а не на уровне TCP. Таким образом, вы увидите, что tcp-подключения или
nslookup
операции успешно выполняются в общедоступной конечной точке, даже если общедоступный доступ отключен.
Подробнее см. в разделе Ограничения службы “Приватный канал Azure”.
Следующие шаги
- Дополнительные сведения о службе Приватный канал Azure
- Дополнительные сведения о служебной шине Azure.