Tillåt åtkomst till Azure Event Hubs namnområden via privata slutpunkter

  • Artikel

Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Azure Event Hubs, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat slutpunkt är ett nätverksgränssnitt som ger dig en privat och säker anslutning till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk, vilket effektivt för in tjänsten i ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Mer information finns i Vad är Azure Private Link?

Viktiga saker

  • Den här funktionen stöds inte på den grundläggande nivån.
  • Om du aktiverar privata slutpunkter kan du förhindra att andra Azure-tjänster interagerar med Event Hubs. Begäranden som blockeras inkluderar dem från andra Azure-tjänster, från Azure Portal, från loggnings- och måtttjänster och så vidare. Som ett undantag kan du tillåta åtkomst till Event Hubs-resurser från vissa betrodda tjänster även när privata slutpunkter är aktiverade. En lista över betrodda tjänster finns i Betrodda tjänster.
  • Ange minst en IP-regel eller en regel för virtuellt nätverk för namnområdet så att endast trafik tillåts från de angivna IP-adresserna eller undernätet för ett virtuellt nätverk. Om det inte finns några IP- och virtuella nätverksregler kan namnområdet nås via det offentliga Internet (med hjälp av åtkomstnyckeln).

Lägga till en privat slutpunkt med Azure Portal

Förutsättningar

Om du vill integrera ett Event Hubs-namnområde med Azure Private Link behöver du följande entiteter eller behörigheter:

  • Ett Event Hubs-namnområde.
  • Ett virtuellt Azure-nätverk.
  • Ett undernät i det virtuella nätverket. Du kan använda standardundernätet .
  • Ägar- eller deltagarbehörigheter för både namnområdet och det virtuella nätverket.

Din privata slutpunkt och ditt virtuella nätverk måste finnas i samma region. När du väljer en region för den privata slutpunkten med hjälp av portalen filtreras endast virtuella nätverk som finns i den regionen automatiskt. Namnområdet kan finnas i en annan region.

Din privata slutpunkt använder en privat IP-adress i ditt virtuella nätverk.

Konfigurera privat åtkomst när du skapar ett namnområde

När du skapar ett namnområde kan du antingen tillåta åtkomst till namnområdet endast offentligt (från alla nätverk) eller endast privat (endast via privata slutpunkter).

Om du väljer alternativet Privat åtkomst på sidan Nätverk i guiden skapa namnområde kan du lägga till en privat slutpunkt på sidan genom att välja knappen + Privat slutpunkt . Se nästa avsnitt för detaljerade steg för att lägga till en privat slutpunkt.

Skärmbild som visar sidan Nätverk i guiden Skapa namnområde med alternativet Privat åtkomst valt.

Konfigurera privat åtkomst för ett befintligt namnområde

Om du redan har ett Event Hubs-namnområde kan du skapa en privat länkanslutning genom att följa dessa steg:

  1. Logga in på Azure-portalen.

  2. I sökfältet skriver du in händelsehubbar.

  3. Välj namnområdet i listan där du vill lägga till en privat slutpunkt.

  4. På sidan Nätverk för Åtkomst till offentligt nätverk väljer du Inaktiverad om du vill att namnområdet endast ska nås via privata slutpunkter.

  5. För Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggen väljer du Ja om du vill tillåta att betrodda Microsoft-tjänster kringgår den här brandväggen.

    Skärmbild av sidan Nätverk med offentlig nätverksåtkomst som Inaktiverad.

  6. Växla till fliken Privata slutpunktsanslutningar .

  7. Välj knappen + Privat slutpunkt överst på sidan.

    Nätverkssida – fliken Privata slutpunktsanslutningar – Lägg till privat slutpunktslänk.

  8. Följ dessa steg på sidan Grundläggande :

    1. Välj den Azure-prenumeration där du vill skapa den privata slutpunkten.

    2. Välj resursgruppen för den privata slutpunktsresursen.

    3. Ange ett namn för den privata slutpunkten.

    4. Ange ett namn för nätverksgränssnittet.

    5. Välj en region för den privata slutpunkten. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk, men kan finnas i en annan region än den privata länkresurs som du ansluter till.

    6. Välj Nästa: Knappen Resurs > längst ned på sidan.

      Skärmbild som visar sidan Grundläggande i guiden Skapa privat slutpunkt.

  9. På sidan Resurs granskar du inställningarna och väljer Nästa: Virtual Network.

    Skärmbild som visar resurssidan i guiden Skapa privat slutpunkt.

  10. sidan Virtual Network väljer du undernätet i ett virtuellt nätverk där du vill distribuera den privata slutpunkten.

    1. Välj ett virtuellt nätverk. Endast virtuella nätverk i den valda prenumerationen och platsen visas i listrutan.

    2. Välj ett undernät i det virtuella nätverk som du har valt.

    3. Observera att nätverksprincipen för privata slutpunkter är inaktiverad. Om du vill aktivera den väljer du redigera, uppdaterar inställningen och väljer Spara.

    4. För privat IP-konfiguration väljs som standard alternativet Dynamiskt allokera IP-adress . Om du vill tilldela en statisk IP-adress väljer du Statisk allokera IP-adress*.

    5. För Programsäkerhetsgrupp väljer du en befintlig programsäkerhetsgrupp eller skapar en som ska associeras med den privata slutpunkten.

    6. Välj Nästa: DNS-knappen > längst ned på sidan.

      Skärmbild som visar sidan Virtual Network i guiden Skapa privat slutpunkt.

  11. sidan DNS väljer du om du vill att den privata slutpunkten ska integreras med en privat DNS-zon och väljer sedan Nästa: Taggar.

  12. På sidan Taggar skapar du eventuella taggar (namn och värden) som du vill associera med den privata slutpunktsresursen. Välj sedan knappen Granska + skapa längst ned på sidan.

  13. Granska alla inställningar i Granska + skapa och välj Skapa för att skapa den privata slutpunkten.

    Skapa privat slutpunkt – granska och skapa sida

  14. Bekräfta att du ser att den privata slutpunktsanslutning som du skapade visas i listan över slutpunkter. I det här exemplet godkänns den privata slutpunkten automatiskt eftersom du är ansluten till en Azure-resurs i din katalog och du har tillräcklig behörighet.

    Privat slutpunkt har skapats

Betrodda Microsoft-tjänster

När du aktiverar inställningen Tillåt betrodda Microsoft-tjänster att kringgå den här brandväggsinställningen beviljas följande tjänster i samma klientorganisation åtkomst till dina Event Hubs-resurser.

Betrodd tjänst Användningsscenarier som stöds
Azure Event Grid Gör att Azure Event Grid kan skicka händelser till händelsehubbar i Event Hubs-namnområdet. Du måste också utföra följande steg:
  • Aktivera systemtilldelad identitet för ett ämne eller en domän
  • Lägg till identiteten i rollen Azure Event Hubs datasändarroll i Event Hubs-namnområdet
  • Konfigurera sedan händelseprenumerationen som använder en händelsehubb som en slutpunkt för att använda den systemtilldelade identiteten.

Mer information finns i Händelseleverans med en hanterad identitet
Azure Stream Analytics Gör att ett Azure Stream Analytics-jobb kan läsa data från (indata) eller skriva data till (utdata) händelsehubbar i Event Hubs-namnområdet.

Viktigt! Stream Analytics-jobbet bör konfigureras för att använda en hanterad identitet för att få åtkomst till händelsehubben. Mer information finns i Använda hanterade identiteter för att komma åt händelsehubben från ett Azure Stream Analytics-jobb (förhandsversion).

Azure IoT Hub Gör att IoT Hub kan skicka meddelanden till händelsehubbar i Event Hubs-namnområdet. Du måste också utföra följande steg:
  • Aktivera systemtilldelad identitet för din IoT-hubb
  • Lägg till identiteten i rollen Azure Event Hubs datasändarroll i Event Hubs-namnområdet.
  • Konfigurera sedan IoT Hub som använder en händelsehubb som en anpassad slutpunkt för att använda identitetsbaserad autentisering.
Azure API Management

Med API Management-tjänsten kan du skicka händelser till en händelsehubb i Event Hubs-namnområdet.
Azure Monitor (diagnostikinställningar och åtgärdsgrupper) Gör att Azure Monitor kan skicka diagnostikinformation och aviseringsmeddelanden till händelsehubbar i Event Hubs-namnområdet. Azure Monitor kan läsa från händelsehubben och även skriva data till händelsehubben.
Azure Synapse Gör att Azure Synapse kan ansluta till händelsehubben med hjälp av synapse-arbetsytans hanterade identitet. Lägg till rollen Azure Event Hubs datasändare, mottagare eller ägare till identiteten i Event Hubs-namnområdet.
Azure-datautforskaren Gör att Azure Data Explorer kan ta emot händelser från händelsehubben med hjälp av klustrets hanterade identitet. Du måste utföra följande steg:
  • Konfigurera den hanterade identiteten på Azure Data Explorer
  • Tilldela rollen Azure Event Hubs datamottagare till identiteten på händelsehubben.
 
Azure IoT Central

Tillåter att IoT Central exporterar data till händelsehubbar i Event Hubs-namnområdet. Du måste också göra följande:

  • Aktivera systemtilldelad identitet för ditt IoT Central-program.
  • Lägg till identiteten i rollen Azure Event Hubs datasändarroll i Event Hubs-namnområdet.
  • Konfigurera sedan Event Hubs-exportmålet för ditt IoT Central-program för att använda identitetsbaserad autentisering.
Azure Health Data Services Tillåter att IoT-anslutningsappen för Healthcare-API:er matar in medicinska enhetsdata från Event Hubs-namnområdet och bevarar data i din konfigurerade FHIR-tjänst® (Fast Healthcare Interoperability Resources). IoT-anslutningsappen ska konfigureras för att använda en hanterad identitet för att få åtkomst till händelsehubben. Mer information finns i Kom igång med IoT-anslutningsappen – Azure Healthcare-API:er.
Azure Digital Twins Gör att Azure Digital Twins kan mata ut data till händelsehubbar i Event Hubs-namnområdet. Du måste också göra följande:

  • Aktivera systemtilldelad identitet för din Azure Digital Twins-instans.
  • Lägg till identiteten i rollen Azure Event Hubs datasändarroll i Event Hubs-namnområdet.
  • Konfigurera sedan en Azure Digital Twins-slutpunkt eller Azure Digital Twins-datahistorikanslutning som använder den systemtilldelade identiteten för att autentisera. Mer information om hur du konfigurerar slutpunkter och händelsevägar till Event Hubs-resurser från Azure Digital Twins finns i Dirigera Azure Digital Twins-händelser och Skapa slutpunkter i Azure Digital Twins.

De andra betrodda tjänsterna för Azure Event Hubs finns nedan:

  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview

Om du vill tillåta att betrodda tjänster får åtkomst till ditt namnområde växlar du till fliken Offentlig åtkomst på sidan Nätverk och väljer Ja för Tillåt att betrodda Microsoft-tjänster kringgår den här brandväggen?.

Lägga till en privat slutpunkt med PowerShell

I följande exempel visas hur du använder Azure PowerShell för att skapa en privat slutpunktsanslutning. Det skapar inte ett dedikerat kluster åt dig. Följ stegen i den här artikeln för att skapa ett dedikerat Event Hubs-kluster.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Konfigurera den privata DNS-zonen

Skapa en privat DNS-zon för Event Hubs-domänen och skapa en associationslänk med det virtuella nätverket:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Hantera privata slutpunkter med hjälp av Azure Portal

När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog kan du godkänna anslutningsbegäran förutsatt att du har tillräcklig behörighet. Om du ansluter till en Azure-resurs i en annan katalog måste du vänta tills ägaren av resursen godkänner anslutningsbegäran.

Det finns fyra etableringstillstånd:

Tjänståtgärd Privat slutpunktstillstånd för tjänstkonsument Beskrivning
Ingen Väntar Anslutningen skapas manuellt och väntar på godkännande från Private Link resursägare.
Godkänn Godkända Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
Avvisa Avslagen Anslutningen avvisades av resursägaren för den privata länken.
Ta bort Frånkopplad Anslutningen togs bort av resursägaren för den privata länken, den privata slutpunkten blir informativ och bör tas bort för rensning.

Godkänna, avvisa eller ta bort en privat slutpunktsanslutning

  1. Logga in på Azure-portalen.
  2. I sökfältet skriver du in händelsehubbar.
  3. Välj det namnområde som du vill hantera.
  4. Välj fliken Nätverk.
  5. Gå till lämpligt avsnitt baserat på den åtgärd som du vill: godkänna, avvisa eller ta bort.

Godkänna en privat slutpunktsanslutning

  1. Om det finns några väntande anslutningar visas en anslutning med Väntande i etableringstillståndet.

  2. Välj den privata slutpunkt som du vill godkänna

  3. Välj knappen Godkänn .

    Godkänn privat slutpunkt

  4. På sidan Godkänn anslutning lägger du till en kommentar (valfritt) och väljer Ja. Om du väljer Nej händer ingenting.

  5. Du bör se att statusen för den privata slutpunktsanslutningen i listan har ändrats till Godkänd.

Avvisa en privat slutpunktsanslutning

  1. Om det finns några privata slutpunktsanslutningar som du vill avvisa, oavsett om det är en väntande begäran eller en befintlig anslutning, väljer du anslutningen och väljer knappen Avvisa .

    Avvisa privat slutpunkt

  2. På sidan Avvisa anslutning anger du en kommentar (valfritt) och väljer Ja. Om du väljer Nej händer ingenting.

  3. Du bör se att statusen för den privata slutpunktsanslutningen i listan har ändrats till Avvisad.

Ta bort en privat slutpunktsanslutning

  1. Om du vill ta bort en privat slutpunktsanslutning markerar du den i listan och väljer Ta bort i verktygsfältet.
  2. På sidan Ta bort anslutning väljer du Ja för att bekräfta borttagningen av den privata slutpunkten. Om du väljer Nej händer ingenting.
  3. Du bör se att statusen har ändrats till Frånkopplad. Slutpunkten försvinner sedan från listan.

Du bör kontrollera att resurser i det virtuella nätverket för den privata slutpunkten ansluter till Event Hubs-namnområdet via en privat IP-adress och att de har rätt privat DNS-zonintegrering.

Skapa först en virtuell dator genom att följa stegen i Skapa en virtuell Windows-dator i Azure Portal

På fliken Nätverk :

  1. Ange Virtuellt nätverk och Undernät. Du måste välja den Virtual Network där du distribuerade den privata slutpunkten.
  2. Ange en offentlig IP-resurs .
  3. För Nätverkssäkerhetsgrupp för nätverkskort väljer du Ingen.
  4. För Belastningsutjämning väljer du Nej.

Anslut till den virtuella datorn, öppna kommandoraden och kör följande kommando:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Du bör se ett resultat som ser ut så här.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Begränsningar och designöverväganden

  • Prisinformation finns i Azure Private Link prissättning.
  • Den här funktionen är tillgänglig i alla offentliga Azure-regioner.
  • Maximalt antal privata slutpunkter per Event Hubs-namnområde: 120.
  • Trafiken blockeras i programlagret, inte på TCP-lagret. Därför visas TCP-anslutningar eller nslookup åtgärder som lyckas mot den offentliga slutpunkten även om den offentliga åtkomsten är inaktiverad.

Mer information finns i Azure Private Link-tjänsten: Begränsningar

Nästa steg