Настройка брандмауэра IP-адресов для разделов и доменов службы "Сетка событий Azure"

По умолчанию раздел и домен доступны из Интернета при условии, что запрос поступает с действительными данными для аутентификации и авторизации. С помощью IP-брандмауэра такой доступ можно дополнительно ограничить набором или диапазоном IPv4-адресов, введя их в нотации CIDR. Издатели, исходящие из любого другого IP-адреса, будут отклонены и получат ответ 403 (запрещено). Дополнительные сведения о функциях безопасности сети, поддерживаемых службой "Сетка событий", см. в разделе Сетевая безопасность для сетки событий.

В этой статье объясняется, как настроить параметры брандмауэра IP-адресов для разделов и доменов Сетки событий Azure.

Использование портала Azure

В этом разделе показано, как с помощью портала Azure настроить открытый или закрытый доступ при создании раздела или для существующего раздела. Действия, приведенные в этом разделе, предназначены для разделов. Аналогичные действия можно использовать при настройке открытого или закрытого доступа для доменов.

При создании раздела

В этом разделе показано, как настроить доступ в рамках общедоступной или частной сети для раздела или домена Сетки событий. Пошаговые инструкции по созданию нового раздела см. в статье Создание пользовательского раздела.

1. На странице Основные сведения мастера создания раздела нажмите кнопку Далее: Сетевые подключения в нижней части страницы после заполнения обязательных полей.

   

2. Если вы хотите разрешить клиентам подключаться к конечной точке раздела через общедоступный IP-адрес, убедитесь, что выбран режим Общий доступ.

   Вы можете ограничить доступ к разделу с определенных IP-адресов, указав значения в поле Диапазон адресов . Укажите один IPv4-адрес или диапазон IP-адресов в нотации CIDR.

   

3. Чтобы разрешить доступ к разделу "Сетка событий" через частную конечную точку, выберите режим Частный доступ.

   

4. С помощью инструкций в разделе Добавление частной конечной точки с помощью портала Azure создайте частную конечную точку.

Для существующего раздела

1. В портал Azure перейдите к разделу или домену Сетки событий и перейдите на вкладку Сеть.

2. Выберите общедоступные сети, чтобы разрешить всем сетям, включая Интернет, доступ к ресурсу.

   Вы можете ограничить доступ к разделу с определенных IP-адресов, указав значения в поле Диапазон адресов . Укажите один IPv4-адрес или диапазон IP-адресов в нотации CIDR.

   

3. Выберите вариант Только частные конечные точки, чтобы разрешить доступ к этому ресурсу только частным конечным точкам. Используйте вкладку Подключения частных конечных точек на этой странице для управления подключениями.

   Пошаговые инструкции по созданию подключения к частной конечной точке см. в разделе Добавление частной конечной точки с помощью портала Azure.

   

4. На панели инструментов щелкните Сохранить.

Использование Azure CLI

В этом разделе показано, как использовать команды Azure CLI для создания разделов с правилами IP-адресов для входящего трафика. Действия, приведенные в этом разделе, предназначены для разделов. Аналогичные действия можно использовать для создания правил IP-адресов для входящего трафика для доменов.

Включение и отключение доступа для общедоступной сети

По умолчанию доступ для общедоступной сети для разделов и доменов включен. Его также можно включить или отключить явным образом. Трафик можно ограничить, настроив правила брандмауэра для IP-адресов для входящего трафика.

Включение доступа для общедоступной сети при создании раздела

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled

Отключение доступа для общедоступной сети при создании раздела

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access disabled

Примечание

Если доступ для общедоступной сети отключен для раздела или домена, трафик через общедоступный Интернет не разрешен. Доступ к этим ресурсам будет разрешен только для подключений к частным конечным точкам.

Включение доступа для общедоступной сети для существующего раздела

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled 

Отключение доступа для общедоступной сети для существующего раздела

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access disabled

Создание раздела с единым правилом IP-адресов для входящего трафика

Следующий пример команды CLI создает раздел Сетки событий с правилами IP-адресов для входящего трафика.

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow 

Создание раздела с несколькими правилами IP-адресов для входящего трафика

Следующий пример команды CLI создает в разделе Сетки событий два правила входящего IP-адреса в одном шаге:

az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Обновление существующего раздела для добавления правил IP-адресов для входящего трафика

В этом примере сначала создается раздел Сетки событий, а затем добавляются правила входящего IP-адреса для этого раздела в отдельной команде. Здесь также обновляются правила IP-адресов для входящего трафика, которые были заданы во второй команде.

# create the event grid topic first
az eventgrid topic create \
    --resource-group $resourceGroupName \
    --name $topicName \
    --location $location

# add inbound IP rules to an existing topic
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR or CIDR MASK> allow

# later, update topic with additional ip rules
az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
    --inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow

Удаление правила IP-адресов для входящего трафика

Следующая команда удаляет второе правило, созданное на предыдущем шаге, указывая только первое правило при обновлении параметра.

az eventgrid topic update \
    --resource-group $resourceGroupName \
    --name $topicName \
    --public-network-access enabled \
    --inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow

Использование PowerShell

В этом разделе показано, как использовать команды Azure PowerShell для создания разделов сетки событий Azure с правилами брандмауэра для IP-адресов для входящего трафика. Действия, приведенные в этом разделе, предназначены для разделов. Аналогичные действия можно использовать для создания правил IP-адресов для входящего трафика для доменов.

По умолчанию доступ для общедоступной сети для разделов и доменов включен. Его также можно включить или отключить явным образом. Трафик можно ограничить, настроив правила брандмауэра для IP-адресов для входящего трафика.

Включение доступа для общедоступной сети при создании раздела

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled

Отключение доступа для общедоступной сети при создании раздела

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled

Примечание

Если доступ для общедоступной сети отключен для раздела или домена, трафик через общедоступный Интернет не разрешен. Доступ к этим ресурсам будет разрешен только для подключений к частным конечным точкам.

Создание раздела с правилами доступа для общедоступной сети и правилами IP-адресов для входящего трафика

Следующий пример команды CLI создает раздел Сетки событий с доступом к общедоступной сети и правилами входящих IP-адресов.

New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }

Обновление существующего раздела с правилами доступа для общедоступной сети и правилами IP-адресов для входящего трафика

Следующий пример команды CLI обновляет существующий раздел Сетки событий с помощью правил IP-адресов для входящего трафика.

Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}

Отключение доступа для общедоступной сети для существующего раздела

Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}

Дальнейшие действия

• Ознакомьтесь со сведениями о мониторинге доставки сообщений в службе "Сетка событий".
• Дополнительные сведения о ключе аутентификации см. в статье Сетка событий: безопасность и проверка подлинности.
• Дополнительные сведения о создании подписки на Сетку событий Azure см. в статье Схема подписки для службы "Сетка событий".
• Сведения об устранении неполадок с сетевым подключением см. в разделе Устранение неполадок с сетевым подключением.