Özel uç noktalar aracılığıyla Azure Event Hubs ad alanlarına erişime izin verme

Azure Özel Bağlantı Hizmeti, Azure Hizmetleri'ne (örneğin, Azure Event Hubs, Azure Depolama ve Azure Cosmos DB) ve Azure'da barındırılan müşteri/iş ortağı hizmetlerine sanal ağınızdaki özel bir uç nokta üzerinden erişmenizi sağlar.

Bir özel uç nokta, sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkin bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Azure kaynağının bir örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?

Önemli noktalar

• Bu özellik temel katmanda desteklenmez.
• Özel uç noktaların etkinleştirilmesi, diğer Azure hizmetlerinin Event Hubs ile etkileşim kurmasını engelleyebilir. Engellenen istekler, diğer Azure hizmetlerinden, Azure portal, günlüğe kaydetme ve ölçüm hizmetlerinden vb. gelen istekleri içerir. Özel durum olarak, özel uç noktalar etkinleştirildiğinde bile belirli güvenilen hizmetlerden Event Hubs kaynaklarına erişime izin vekleyebilirsiniz. Güvenilen hizmetlerin listesi için bkz . Güvenilen hizmetler.
• Yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağından gelen trafiğe izin vermek için ad alanı için en az bir IP kuralı veya sanal ağ kuralı belirtin. IP ve sanal ağ kuralları yoksa, ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak).

Azure portal kullanarak özel uç nokta ekleme

Önkoşullar

Event Hubs ad alanını Azure Özel Bağlantı ile tümleştirmek için aşağıdaki varlıklara veya izinlere ihtiyacınız vardır:

• Event Hubs ad alanı.
• Azure sanal ağı.
• Sanal ağdaki bir alt ağ. Varsayılan alt ağı kullanabilirsiniz.
• Hem ad alanı hem de sanal ağ için sahip veya katkıda bulunan izinleri.

Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Portalı kullanarak özel uç nokta için bir bölge seçtiğinizde, yalnızca bu bölgedeki sanal ağlar otomatik olarak filtrelenir. Ad alanınız farklı bir bölgede olabilir.

Özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.

Ad alanı oluştururken özel erişimi yapılandırma

Ad alanı oluştururken, ad alanına yalnızca genel (tüm ağlardan) veya yalnızca özel (yalnızca özel uç noktalar aracılığıyla) erişimine izin vekleyebilirsiniz.

Ad alanı oluşturma sihirbazının Ağ sayfasında Özel erişim seçeneğini belirtirseniz , + Özel uç nokta düğmesini seçerek sayfaya özel uç nokta ekleyebilirsiniz. Özel uç nokta eklemeye yönelik ayrıntılı adımlar için sonraki bölüme bakın.

Mevcut ad alanı için özel erişimi yapılandırma

Zaten bir Event Hubs ad alanınız varsa, aşağıdaki adımları izleyerek özel bağlantı bağlantısı oluşturabilirsiniz:

1. Azure Portal’ında oturum açın.

2. Arama çubuğuna event hubs yazın.

3. Özel uç nokta eklemek istediğiniz listeden ad alanını seçin.

4. Ad alanına yalnızca özel uç noktalar üzerinden erişim sağlamak istiyorsanız , Ağ sayfasında Genel ağ erişimi için Devre Dışı'nı seçin.

5. Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver için, güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin vermek istiyorsanız Evet'i seçin.

   

6. Özel uç nokta bağlantıları sekmesine geçin.

7. Sayfanın üst kısmındaki + Özel Uç Nokta düğmesini seçin.

   

8. Temel Bilgiler sayfasında şu adımları izleyin:

   1. Özel uç noktayı oluşturmak istediğiniz Azure aboneliğini seçin.

   2. Özel uç nokta kaynağı için kaynak grubunu seçin.

   3. Özel uç nokta için bir ad girin.

   4. Ağ arabirimi için bir ad girin.

   5. Özel uç nokta için bir bölge seçin. Özel uç noktanız sanal ağınızla aynı bölgede olmalıdır, ancak bağlandığınız özel bağlantı kaynağından farklı bir bölgede olabilir.

   6. Sayfanın alt kısmındaki İleri: Kaynak > düğmesini seçin.

      

9. Kaynak sayfasında ayarları gözden geçirin ve İleri: Sanal Ağ'ı seçin.

   

10. Sanal Ağ sayfasında, özel uç noktayı dağıtmak istediğiniz sanal ağdaki alt ağı seçersiniz.

    1. Bir sanal ağ seçin. Açılan listede yalnızca seçili durumdaki abonelik ve konumdaki sanal ağlar listelenir.

    2. Seçtiğiniz sanal ağda bir alt ağ seçin.

    3. Özel uç noktalar için ağ ilkesinin devre dışı bırakıldığına dikkat edin. Etkinleştirmek istiyorsanız düzenle'yi seçin, ayarı güncelleştirin ve Kaydet'i seçin.

    4. Özel IP yapılandırması için, varsayılan olarak IP adresini dinamik olarak ayır seçeneği seçilidir. Statik BIR IP adresi atamak istiyorsanız , Statik OLARAK IP adresi ayır* seçeneğini belirleyin.

    5. Uygulama güvenlik grubu için var olan bir uygulama güvenlik grubunu seçin veya özel uç noktayla ilişkilendirilecek bir güvenlik grubu oluşturun.

    6. Sayfanın en altındaki İleri: DNS > düğmesi'ni seçin.

       

11. DNS sayfasında, özel uç noktanın özel bir DNS bölgesiyle tümleştirilmesini isteyip istemediğinizi seçin ve ardından İleri: Etiketler'i seçin.

12. Etiketler sayfasında, özel uç nokta kaynağıyla ilişkilendirmek istediğiniz etiketleri (adlar ve değerler) oluşturun. Ardından, sayfanın en altındaki Gözden geçir ve oluştur düğmesini seçin.

13. Gözden geçir + oluştur bölümünde tüm ayarları gözden geçirin ve Oluştur'u seçerek özel uç noktayı oluşturun.

    

14. Oluşturduğunuz özel uç nokta bağlantısının uç nokta listesinde gösterildiğini onaylayın. Bu örnekte, dizininizdeki bir Azure kaynağına bağlandığınızdan ve yeterli izinlere sahip olduğunuzdan özel uç nokta otomatik olarak onaylanır.

    

Güvenilen Microsoft hizmetleri

Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver ayarını etkinleştirdiğinizde, aynı kiracıdaki aşağıdaki hizmetlere Event Hubs kaynaklarınıza erişim izni verilir.

Güvenilen hizmet	Desteklenen kullanım senaryoları
Azure Event Grid	Azure Event Grid Event Hubs ad alanınızdaki olay hub'larına olay göndermesine izin verir. Aşağıdaki adımları da uygulamanız gerekir: Bir konu veya etki alanı için sistem tarafından atanan kimliği etkinleştirme Kimliği Event Hubs ad alanındaki Azure Event Hubs Veri Göndereni rolüne ekleme Ardından, sistem tarafından atanan kimliği kullanmak için uç nokta olarak bir olay hub'ı kullanan olay aboneliğini yapılandırın. Daha fazla bilgi için bkz . Yönetilen kimlikle olay teslimi
Azure Stream Analytics	Azure Stream Analytics işinin Event Hubs ad alanınızdaki olay hub'larından veri okumasına (giriş) veya olay hub'larına (çıktı) veri yazmasına izin verir. Önemli: Stream Analytics işi, olay hub'ına erişmek için yönetilen kimlik kullanacak şekilde yapılandırılmalıdır. Daha fazla bilgi için bkz. Azure Stream Analytics işinden (Önizleme) olay hub'ına erişmek için yönetilen kimlikleri kullanma.
Azure IoT Hub	IoT Hub Event Hubs ad alanınızdaki olay hub'larına ileti göndermesine izin verir. Aşağıdaki adımları da uygulamanız gerekir: IoT hub'ınız için sistem tarafından atanan kimliği etkinleştirme Kimliği Event Hubs ad alanındaki Azure Event Hubs Veri Gönderen rolüne ekleyin. Ardından, kimlik tabanlı kimlik doğrulamasını kullanmak için özel uç nokta olarak bir olay hub'ı kullanan IoT Hub yapılandırın.
Azure API Management	API Management hizmeti, Event Hubs ad alanınızdaki bir olay hub'ına olay göndermenizi sağlar. Send-request ilkesini kullanarak bir API çağrıldığında olay hub'ınıza olaylar göndererek özel iş akışlarını tetikleyebilirsiniz. Bir olay hub'ına API'de arka uç olarak da davranabilirsiniz. Örnek ilke için bkz. Olay hub'ına erişmek için yönetilen kimlik kullanarak kimlik doğrulama. Aşağıdaki adımları da uygulamanız gerekir: API Management örneğinde sistem tarafından atanan kimliği etkinleştirin. Yönergeler için bkz. Azure API Management'de yönetilen kimlikleri kullanma. Kimliği Event Hubs ad alanındaki Azure Event Hubs Veri Gönderen rolüne ekleme
Azure İzleyici (Tanılama Ayarları ve Eylem Grupları)	Azure İzleyici'nin Event Hubs ad alanınızdaki olay hub'larına tanılama bilgileri ve uyarı bildirimleri göndermesine izin verir. Azure İzleyici olay hub'ından okuyabilir ve olay hub'ına veri yazabilir.
Azure Synapse	Azure Synapse Synapse Çalışma Alanı Yönetilen Kimliği'ni kullanarak olay hub'ına bağlanmasına izin verir. Event Hubs ad alanındaki kimliğe Azure Event Hubs Veri Göndereni, Alıcı veya Sahip rolünü ekleyin.
Azure Veri Gezgini	Azure Veri Gezgini'nin kümenin Yönetilen Kimliği'ni kullanarak olay hub'ından olay almasına izin verir. Aşağıdaki adımları uygulamanız gerekir: Azure Veri Gezgini'da Yönetilen Kimliği yapılandırma Kimlik için olay hub'ına Azure Event Hubs Veri Alıcısı rolü verin.
Azure IoT Central	IoT Central'ın Event Hubs ad alanınızdaki olay hub'larına veri aktarmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir: IoT Central uygulamanız için sistem tarafından atanan kimliği etkinleştirin. Kimliği Event Hubs ad alanındaki Azure Event Hubs Veri Gönderen rolüne ekleyin. Ardından IoT Central uygulamanızdaki Event Hubs dışarı aktarma hedefini kimlik tabanlı kimlik doğrulaması kullanacak şekilde yapılandırın.
Azure Sağlık Verisi Hizmetleri	Healthcare API'leri IoT bağlayıcısının Event Hubs ad alanınızdan tıbbi cihaz verilerini almasına ve verileri yapılandırılmış Hızlı Sağlık Hizmeti Birlikte Çalışabilirlik Kaynakları (FHIR®) hizmetinizde kalıcı hale yapmasına izin verir. IoT bağlayıcısı, olay hub'ına erişmek için yönetilen kimlik kullanacak şekilde yapılandırılmalıdır. Daha fazla bilgi için bkz. IoT bağlayıcısı - Azure Healthcare API'lerini kullanmaya başlama.
Azure Digital Twins	Azure Digital Twins'in Event Hubs ad alanınızdaki olay hub'larına veri çıkışı yapmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir: Azure Digital Twins örneğiniz için sistem tarafından atanan kimliği etkinleştirin. Kimliği Event Hubs ad alanındaki Azure Event Hubs Veri Gönderen rolüne ekleyin. Ardından, kimlik doğrulaması için sistem tarafından atanan kimliği kullanan bir Azure Digital Twins uç noktası veya Azure Digital Twins veri geçmişi bağlantısı yapılandırın. Azure Digital Twins'den Event Hubs kaynaklarına uç noktaları ve olay yollarını yapılandırma hakkında daha fazla bilgi için bkz. Azure Digital Twins olaylarını yönlendirme ve Azure Digital Twins'de uç noktalar oluşturma.

Azure Event Hubs için diğer güvenilen hizmetler aşağıda bulunabilir:

• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Güvenilen hizmetlerin ad alanınıza erişmesine izin vermek için Ağ sayfasındaki Genel Erişim sekmesine geçin ve Güvenilen Microsoft hizmetlerinin bu güvenlik duvarını atlamasına izin ver? için Evet'i seçin.

PowerShell kullanarak özel uç nokta ekleme

Aşağıdaki örnekte özel uç nokta bağlantısı oluşturmak için Azure PowerShell nasıl kullanılacağı gösterilmektedir. Sizin için ayrılmış bir küme oluşturmaz. Ayrılmış bir Event Hubs kümesi oluşturmak için bu makaledeki adımları izleyin.

$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VIRTUAL NETWORK LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create an event hubs namespace in a dedicated cluster
$namespaceResource = New-AzResource -Location $namespaceLocation `
                                    -ResourceName $namespaceName `
                                    -ResourceGroupName $rgName `
                                    -Sku @{name = "Standard"; capacity = 1} `
                                    -Properties @{clusterArmId = "/subscriptions/<SUBSCRIPTION ID>/resourceGroups/<RESOURCE GROUP NAME>/providers/Microsoft.EventHub/clusters/<EVENT HUBS CLUSTER NAME>"} `
                                    -ResourceType "Microsoft.EventHub/namespaces" -ApiVersion "2018-01-01-preview"

# create private endpoint connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you'll use later
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# create a private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Özel DNS Bölgesini yapılandırma

Event Hubs etki alanı için özel bir DNS bölgesi oluşturun ve sanal ağ ile bir ilişkilendirme bağlantısı oluşturun:

$zone = New-AzPrivateDnsZone -ResourceGroupName $rgName `
                            -Name "privatelink.servicebus.windows.net" 
 
$link  = New-AzPrivateDnsVirtualNetworkLink -ResourceGroupName $rgName `
                                            -ZoneName "privatelink.servicebus.windows.net" `
                                            -Name "mylink" `
                                            -VirtualNetworkId $virtualNetwork.Id  
 
$networkInterface = Get-AzResource -ResourceId $privateEndpoint.NetworkInterfaces[0].Id -ApiVersion "2019-04-01" 
 
foreach ($ipconfig in $networkInterface.properties.ipConfigurations) { 
    foreach ($fqdn in $ipconfig.properties.privateLinkConnectionProperties.fqdns) { 
        Write-Host "$($ipconfig.properties.privateIPAddress) $($fqdn)"  
        $recordName = $fqdn.split('.',2)[0] 
        $dnsZone = $fqdn.split('.',2)[1] 
        New-AzPrivateDnsRecordSet -Name $recordName -RecordType A -ZoneName "privatelink.servicebus.windows.net"  `
                                -ResourceGroupName $rgName -Ttl 600 `
                                -PrivateDnsRecords (New-AzPrivateDnsRecordConfig -IPv4Address $ipconfig.properties.privateIPAddress)  
    } 
}

Azure portal kullanarak özel uç noktaları yönetme

Özel uç nokta oluşturduğunuzda bağlantının onaylanması gerekir. Özel uç nokta oluşturduğunuz kaynak dizininizdeyse, yeterli izinlere sahip olmanız koşuluyla bağlantı isteğini onaylayabilirsiniz. Başka bir dizindeki bir Azure kaynağına bağlanıyorsanız, bu kaynağın sahibinin bağlantı isteğinizi onaylamasını beklemeniz gerekir.

Dört sağlama durumu vardır:

Hizmet eylemi	Hizmet tüketicisi özel uç nokta durumu	Açıklama
Hiçbiri	Beklemede	Bağlantı el ile oluşturulur ve Özel Bağlantı kaynak sahibinden onay bekliyor.
Onaylama	Onaylandı	Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır.
Reddet	Reddedildi	Bağlantı, özel bağlantı kaynak sahibi tarafından reddedildi.
Kaldır	Bağlantı kesildi	Bağlantı özel bağlantı kaynağı sahibi tarafından kaldırıldı, özel uç nokta bilgilendirici hale geldi ve temizleme için silinmelidir.

Özel uç nokta bağlantısını onaylama, reddetme veya kaldırma

1. Azure portalında oturum açın.
2. Arama çubuğuna event hubs yazın.
3. Yönetmek istediğiniz ad alanını seçin.
4. Ağ sekmesini seçin.
5. İstediğiniz işleme göre uygun aşağıdaki bölüme gidin: onaylama, reddetme veya kaldırma.

Özel uç nokta bağlantısını onaylama

1. Bekleyen bağlantılar varsa sağlama durumunda Beklemede olarak listelenen bir bağlantı görürsünüz.

2. Onaylamak istediğiniz özel uç noktayı seçin

3. Onayla düğmesini seçin.

   

4. Bağlantıyı onayla sayfasında bir açıklama ekleyin (isteğe bağlı) ve Evet'i seçin. Hayır'ı seçerseniz hiçbir şey olmaz.

5. Listede özel uç nokta bağlantısının durumunun Onaylandı olarak değiştiğini görmeniz gerekir.

Özel uç nokta bağlantısını reddetme

1. Reddetmek istediğiniz herhangi bir özel uç nokta bağlantısı varsa (bekleyen bir istek veya mevcut bağlantı) bağlantıyı seçin ve Reddet düğmesini seçin.

   

2. Bağlantıyı reddet sayfasında bir açıklama girin (isteğe bağlı) ve Evet'i seçin. Hayır'ı seçerseniz hiçbir şey olmaz.

3. Listede özel uç nokta bağlantısının durumunun Reddedildi olarak değiştiğini görmeniz gerekir.

Özel uç nokta bağlantısını kaldırma

1. Özel uç nokta bağlantısını kaldırmak için listeden bu bağlantıyı seçin ve araç çubuğunda Kaldır'ı seçin.
2. Bağlantıyı sil sayfasında, özel uç noktanın silinmesini onaylamak için Evet'i seçin. Hayır'ı seçerseniz hiçbir şey olmaz.
3. Durumun Bağlantısı Kesildi olarak değiştirildiğini görmeniz gerekir. Ardından uç nokta listeden kaybolur.

Özel bağlantı bağlantısının çalıştığını doğrulama

Özel uç noktanın sanal ağındaki kaynakların özel bir IP adresi üzerinden Event Hubs ad alanınıza bağlandığını ve doğru özel DNS bölgesi tümleştirmesine sahip olduklarını doğrulamanız gerekir.

İlk olarak, Azure portal Windows sanal makinesi oluşturma bölümünde yer alan adımları izleyerek bir sanal makine oluşturun

Ağ sekmesinde:

1. Sanal ağ ve Alt ağ belirtin. Özel uç noktayı dağıtılan Sanal Ağ seçmeniz gerekir.
2. Bir genel IP kaynağı belirtin.
3. NIC ağ güvenlik grubu için Yok'u seçin.
4. Yük dengeleme için Hayır'ı seçin.

VM'ye bağlanın, komut satırını açın ve aşağıdaki komutu çalıştırın:

nslookup <event-hubs-namespace-name>.servicebus.windows.net

Aşağıdakine benzer bir sonuç görmeniz gerekir.

Non-authoritative answer:
Name:    <event-hubs-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <event-hubs-namespace-name>.servicebus.windows.net

Sınırlamalar ve tasarım konuları

• Fiyatlandırma bilgileri için bkz. Azure Özel Bağlantı fiyatlandırma.
• Bu özellik tüm Azure genel bölgelerinde kullanılabilir.
• Event Hubs ad alanı başına en fazla özel uç nokta sayısı: 120.
• Trafik TCP katmanında değil uygulama katmanında engellenir. Bu nedenle, genel erişim devre dışı bırakılıyor olsa bile tcp bağlantılarının veya nslookup işlemlerinin genel uç noktada başarılı olduğunu görürsünüz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı hizmeti: Sınırlamalar

Sonraki adımlar

• Azure Özel Bağlantı hakkında daha fazla bilgi edinin
• Azure Event Hubs hakkında daha fazla bilgi edinin