Tillåt åtkomst till Azure Service Bus namnområden via privata slutpunkter

Azure Private Link Service kan du komma åt Azure-tjänster (till exempel Azure Service Bus, Azure Storage och Azure Cosmos DB) och Azure-värdbaserade kund-/partnertjänster via en privat slutpunkt i ditt virtuella nätverk.

En privat slutpunkt är ett nätverksgränssnitt som ger dig en privat och säker anslutning till en tjänst som drivs av Azure Private Link. Den privata slutpunkten använder en privat IP-adress från ditt virtuella nätverk som effektivt flyttar tjänsten till ditt virtuella nätverk. All trafik till tjänsten kan dirigeras via den privata slutpunkten, så inga gatewayer, NAT-enheter, ExpressRoute- eller VPN-anslutningar, eller offentliga IP-adresser behövs. Trafik mellan ditt virtuella nätverk och tjänsten passerar över Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet. Du kan ansluta till en instans av en Azure-resurs, vilket ger dig den högsta detaljnivån i åtkomstkontrollen.

Mer information finns i Vad är Azure Private Link?

Viktiga saker

  • Den här funktionen stöds med premiumnivån för Azure Service Bus. Mer information om premiumnivån finns i artikeln Service Bus Premium- och Standard-meddelandenivåer .

  • Implementering av privata slutpunkter kan hindra andra Azure-tjänster från att interagera med Service Bus. Som ett undantag kan du tillåta åtkomst till Service Bus-resurser från vissa betrodda tjänster även när privata slutpunkter är aktiverade. En lista över betrodda tjänster finns i Betrodda tjänster.

    Följande Microsoft tjänster måste finnas i ett virtuellt nätverk

    • Azure App Service
    • Azure Functions
  • Ange minst en IP-regel eller en regel för virtuellt nätverk för namnområdet så att endast trafik tillåts från de angivna IP-adresserna eller undernätet för ett virtuellt nätverk. Om det inte finns några IP- och virtuella nätverksregler kan namnområdet nås via det offentliga Internet (med hjälp av åtkomstnyckeln).

Lägga till en privat slutpunkt med Azure-Portal

Krav

Om du vill integrera ett Service Bus-namnområde med Azure Private Link behöver du följande entiteter eller behörigheter:

  • Ett Service Bus-namnområde.
  • Ett virtuellt Azure-nätverk.
  • Ett undernät i det virtuella nätverket. Du kan använda standardundernätet .
  • Ägar- eller deltagarbehörigheter för både Service Bus-namnområdet och det virtuella nätverket.

Din privata slutpunkt och ditt virtuella nätverk måste finnas i samma region. När du väljer en region för den privata slutpunkten med hjälp av portalen filtreras endast virtuella nätverk som finns i den regionen automatiskt. Din Service Bus-namnrymd kan finnas i en annan region. Och din privata slutpunkt använder en privat IP-adress i ditt virtuella nätverk.

Steg

Om du redan har ett befintligt namnområde kan du skapa en privat slutpunkt genom att följa dessa steg:

  1. Logga in på Azure-portalen.

  2. I sökfältet skriver du in Service Bus.

  3. Välj namnområdet i listan där du vill lägga till en privat slutpunkt.

  4. På den vänstra menyn väljer du Alternativet Nätverk under Inställningar.

    Anteckning

    Du ser endast fliken Nätverk för premiumnamnområden .

  5. På sidan Nätverk för åtkomst till offentligt nätverk kan du ange något av följande tre alternativ. Välj Inaktiverad om du vill att namnområdet endast ska nås via privata slutpunkter.

    • Inaktiverad. Det här alternativet inaktiverar all offentlig åtkomst till namnområdet. Namnområdet är endast tillgängligt via privata slutpunkter.

      Nätverkssida – fliken Offentlig åtkomst – åtkomst till offentligt nätverk är inaktiverad.

    • Valda nätverk. Det här alternativet ger offentlig åtkomst till namnområdet med hjälp av en åtkomstnyckel från valda nätverk.

      Viktigt

      Om du väljer Valda nätverk lägger du till minst en IP-brandväggsregel eller ett virtuellt nätverk som har åtkomst till namnområdet. Välj Inaktiverad om du bara vill begränsa all trafik till det här namnområdet över privata slutpunkter .

      Nätverkssida med det valda nätverksalternativet valt.

    • Alla nätverk (standard). Det här alternativet ger offentlig åtkomst från alla nätverk med hjälp av en åtkomstnyckel. Om du väljer alternativet Alla nätverk accepterar Service Bus-namnområdet anslutningar från valfri IP-adress (med hjälp av åtkomstnyckeln). Den här inställningen motsvarar en regel som accepterar IP-adressintervallet 0.0.0.0/0.

      Skärmbild av sidan Azure-Portal Nätverk. Alternativet för att tillåta åtkomst från Alla nätverk väljs på fliken Brandväggar och virtuella nätverk.

  6. Om du vill tillåta åtkomst till namnområdet via privata slutpunkter väljer du fliken Privata slutpunktsanslutningar överst på sidan

  7. Välj knappen + Privat slutpunkt överst på sidan.

    Knappen Lägg till privat slutpunkt

  8. Följ dessa steg på sidan Grundläggande :

    1. Välj den Azure-prenumeration där du vill skapa den privata slutpunkten.

    2. Välj resursgruppen för den privata slutpunktsresursen.

    3. Ange ett namn för den privata slutpunkten.

    4. Ange ett namn för nätverksgränssnittet.

    5. Välj en region för den privata slutpunkten. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk, men kan finnas i en annan region än den privata länkresurs som du ansluter till.

    6. Välj Nästa: Knappen Resurs > längst ned på sidan.

      Skärmbild som visar sidan Grundläggande i guiden Skapa privat slutpunkt.

  9. På sidan Resurs granskar du inställningarna och väljer Nästa: Virtual Network längst ned på sidan.

    Skärmbild som visar resurssidan i guiden Skapa privat slutpunkt.

  10. sidan Virtual Network väljer du undernätet i ett virtuellt nätverk där du vill distribuera den privata slutpunkten.

    1. Välj ett virtuellt nätverk. Endast virtuella nätverk i den valda prenumerationen och platsen visas i listrutan.
    2. Välj ett undernät i det virtuella nätverk som du har valt.
    3. Observera att nätverksprincipen för privata slutpunkter är inaktiverad. Om du vill aktivera den väljer du redigera, uppdaterar inställningen och väljer Spara.
    4. För privat IP-konfiguration väljs som standard alternativet Dynamiskt allokera IP-adress . Om du vill tilldela en statisk IP-adress väljer du Statisk allokera IP-adress*.
    5. För Programsäkerhetsgrupp väljer du en befintlig programsäkerhetsgrupp eller skapar en som ska associeras med den privata slutpunkten.
    6. Välj Nästa: DNS-knappen > längst ned på sidan.

    Skärmbild som visar sidan Virtual Network i guiden Skapa privat slutpunkt.

  11. sidan DNS väljer du om du vill att den privata slutpunkten ska integreras med en privat DNS-zon och väljer sedan Nästa: Taggar.

    Skärmbild som visar DNS-sidan i guiden Skapa privat slutpunkt.

  12. På sidan Taggar skapar du eventuella taggar (namn och värden) som du vill associera med den privata slutpunktsresursen. Välj sedan knappen Granska + skapa längst ned på sidan.

  13. Granska alla inställningar i Granska + skapa och välj Skapa för att skapa den privata slutpunkten.

    Skärmbild som visar sidan Granska och skapa i guiden Skapa privat slutpunkt.

  14. Bekräfta att den privata slutpunkten har skapats. Om du är ägare till resursen och har valt Alternativet Anslut till en Azure-resurs i min katalog för metoden Anslutning bör slutpunktsanslutningen godkännas automatiskt. Om den är i väntande tillstånd läser du avsnittet Hantera privata slutpunkter med Azure-Portal.

    Privat slutpunkt har skapats

Betrodda Microsoft tjänster

När du aktiverar inställningen Tillåt betrodda Microsoft tjänster att kringgå den här brandväggsinställningen beviljas följande tjänster åtkomst till dina Service Bus-resurser.

Betrodd tjänst Användningsscenarier som stöds
Azure Event Grid Gör att Azure Event Grid kan skicka händelser till köer eller ämnen i Service Bus-namnområdet. Du måste också utföra följande steg:
  • Aktivera systemtilldelad identitet för ett ämne eller en domän
  • Lägg till identiteten i rollen Azure Service Bus datasändarroll i Service Bus-namnområdet
  • Konfigurera sedan händelseprenumerationen som använder en Service Bus-kö eller ett ämne som slutpunkt för att använda den systemtilldelade identiteten.

Mer information finns i Händelseleverans med en hanterad identitet

Azure API Management

Med Gestione API-tjänsten kan du skicka meddelanden till en Service Bus-kö/-ämne i Service Bus-namnområdet.

Azure IoT Central

Tillåter att IoT Central exporterar data till Service Bus-köer eller -ämnen i Service Bus-namnområdet. Du måste också göra följande:

  • Aktivera systemtilldelad identitet för ditt IoT Central-program
  • Lägg till identiteten i rollen Azure Service Bus datasändarroll i Service Bus-namnområdet.
  • Konfigurera sedan Service Bus-exportmålet i IoT Central-programmet för att använda identitetsbaserad autentisering.
Azure IoT Hub Tillåter att en IoT-hubb skickar meddelanden till köer eller ämnen i Service Bus-namnområdet. Du måste också göra följande:

Lägga till en privat slutpunkt med PowerShell

I följande exempel visas hur du använder Azure PowerShell för att skapa en privat slutpunktsanslutning till ett Service Bus-namnområde.

Din privata slutpunkt och ditt virtuella nätverk måste finnas i samma region. Din Service Bus-namnrymd kan finnas i en annan region. Och din privata slutpunkt använder en privat IP-adress i ditt virtuella nätverk.


$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties


Hantera privata slutpunkter med hjälp av Azure-Portal

När du skapar en privat slutpunkt måste anslutningen godkännas. Om resursen som du skapar en privat slutpunkt för finns i din katalog kan du godkänna anslutningsbegäran förutsatt att du har tillräcklig behörighet. Om du ansluter till en Azure-resurs i en annan katalog måste du vänta tills ägaren av resursen godkänner anslutningsbegäran.

Det finns fyra etableringstillstånd:

Tjänståtgärd Privat slutpunktstillstånd för tjänstkonsument Beskrivning
Ingen Väntar Anslutningen skapas manuellt och väntar på godkännande från Private Link resursägare.
Godkänn Godkända Anslutningen godkändes automatiskt eller manuellt och är redo att användas.
Avvisa Avslagen Anslutningen avvisades av resursägaren för den privata länken.
Ta bort Frånkopplad Anslutningen togs bort av resursägaren för den privata länken. Den privata slutpunkten blir informativ och bör tas bort för rensning.

Godkänna, avvisa eller ta bort en privat slutpunktsanslutning

  1. Logga in på Azure-portalen.
  2. I sökfältet skriver du In Service Bus.
  3. Välj det namnområde som du vill hantera.
  4. Välj fliken Nätverk.
  5. Gå till lämpligt avsnitt nedan baserat på den åtgärd som du vill: godkänna, avvisa eller ta bort.

Godkänna en privat slutpunktsanslutning

  1. Om det finns några väntande anslutningar visas en anslutning med Väntande i etableringstillståndet.

  2. Välj den privata slutpunkt som du vill godkänna

  3. Välj knappen Godkänn .

    Godkänn privat slutpunkt

  4. På sidan Godkänn anslutning anger du en valfri kommentar och väljer Ja. Om du väljer Nej händer ingenting.

    Godkänn anslutningssida

  5. Du bör se att statusen för anslutningen i listan har ändrats till Godkänd.

    Anslutningsstatus – godkänd

Avvisa en privat slutpunktsanslutning

  1. Om det finns några privata slutpunktsanslutningar som du vill avvisa, oavsett om det är en väntande begäran eller en befintlig anslutning som godkändes tidigare, väljer du slutpunktsanslutningen och klickar på knappen Avvisa .

    Knappen Avvisa

  2. På sidan Avvisa anslutning anger du en valfri kommentar och väljer Ja. Om du väljer Nej händer ingenting.

    Avvisa anslutningssida

  3. Du bör se att statusen för anslutningen i listan har ändrats.

    Slutpunkten avvisades

Ta bort en privat slutpunktsanslutning

  1. Om du vill ta bort en privat slutpunktsanslutning markerar du den i listan och väljer Ta bort i verktygsfältet.

    Knappen Ta bort

  2. På sidan Ta bort anslutning väljer du Ja för att bekräfta borttagningen av den privata slutpunkten. Om du väljer Nej händer ingenting.

    Ta bort anslutningssida

  3. Du bör se att statusen har ändrats till Frånkopplad. Slutpunkten försvinner sedan från listan.

Du bör kontrollera att resurser i det virtuella nätverket för den privata slutpunkten ansluter till Service Bus-namnområdet via en privat IP-adress och att de har rätt integrering av privata DNS-zoner.

Skapa först en virtuell dator genom att följa stegen i Skapa en virtuell Windows-dator i Azure-Portal

På fliken Nätverk :

  1. Ange Virtuellt nätverk och Undernät. Du måste välja den Virtual Network där du distribuerade den privata slutpunkten.
  2. Ange en offentlig IP-resurs .
  3. För Nätverkssäkerhetsgrupp för nätverkskort väljer du Ingen.
  4. För Belastningsutjämning väljer du Nej.

Anslut till den virtuella datorn, öppna kommandoraden och kör följande kommando:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Du bör se ett resultat som ser ut så här.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Begränsningar och designöverväganden

Prissättning: Prisinformation finns i Azure Private Link prissättning.

Begränsningar: Den här funktionen är tillgänglig i alla offentliga Azure-regioner.

Maximalt antal privata slutpunkter per Service Bus-namnområde: 120.

Mer information finns i Azure Private Link-tjänsten: Begränsningar

Nästa steg