Belirli IP adreslerinden veya aralıklardan Azure Service Bus ad alanına erişime izin ver

Varsayılan olarak, istek geçerli kimlik doğrulaması ve yetkilendirme içerdiği sürece Service Bus ad alanlarına İnternet'ten erişilebilir. IP güvenlik duvarıyla, gelen trafik bir dizi IPv4 adresi veya IPv4 adres aralığıyla (CIDR'de (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimiyle kısıtlanabilir.

Bu özellik, Azure Service Bus'ın yalnızca belirli iyi bilinen sitelerden erişilebilir olması gereken senaryolarda yararlıdır. Güvenlik duvarı kuralları, belirli IPv4 adreslerinden kaynaklanan trafiği kabul etmek için kuralları yapılandırmanıza olanak tanır. Örneğin, Azure Express Route ile Service Bus kullanıyorsanız, yalnızca şirket içi altyapı IP adreslerinden veya kurumsal NAT ağ geçidinin adreslerinden gelen trafiğe izin veren bir güvenlik duvarı kuralı oluşturabilirsiniz.

IP güvenlik duvarı kuralları

IP güvenlik duvarı kuralları Service Bus ad alanı düzeyinde uygulanır. Bu nedenle, kurallar desteklenen herhangi bir protokol (AMQP (5671) ve HTTPS (443) kullanan istemcilerden gelen tüm bağlantılar için geçerlidir. Service Bus ad alanında izin verilen bir IP kuralıyla eşleşmeyen bir IP adresinden yapılan tüm bağlantı girişimleri yetkisiz olarak reddedilir. Yanıtta IP kuralından bahsedilmez. IP filtresi kuralları sırayla uygulanır ve IP adresiyle eşleşen ilk kural kabul etme veya reddetme eylemini belirler.

Önemli noktalar

• Sanal Ağ yalnızca Service Bus'ın premium katmanında desteklenir. Premium katmana yükseltme seçeneği yoksa IP güvenlik duvarı kurallarını kullanmak mümkündür. Paylaşılan Erişim İmzası (SAS) belirtecini güvenli tutmanızı ve yalnızca yetkili kullanıcılarla paylaşmanızı öneririz. SAS kimlik doğrulaması hakkında bilgi için bkz . Kimlik doğrulaması ve yetkilendirme.

• Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağından gelen trafiğe izin vermek için en az bir IP güvenlik duvarı kuralı veya sanal ağ kuralı belirtin. IP ve sanal ağ kuralı yoksa, ad alanına genel İnternet üzerinden (erişim anahtarı kullanılarak) erişilebilir.

• Güvenlik duvarı kurallarının uygulanması, diğer Azure hizmetlerinin Service Bus ile etkileşim kurmasını engelleyebilir. Özel durum olarak, IP filtreleme etkinleştirildiğinde bile belirli güvenilen hizmetlerden Service Bus kaynaklarına erişime izin vekleyebilirsiniz. Güvenilen hizmetlerin listesi için bkz . Güvenilen hizmetler.

  Aşağıdaki Microsoft hizmetleri bir sanal ağda olması gerekir

  • Azure App Service
  • Azure İşlevleri

Dekont

Yalnızca premium ad alanları için Ağ sekmesini görürsünüz. Diğer katmanlar için IP güvenlik duvarı kuralları ayarlamak için Azure Resource Manager şablonlarını, Azure CLI'yı, PowerShell'i veya REST API'yi kullanın.

Azure portalı kullanma

Ad alanı oluştururken, ad alanına yalnızca genel (tüm ağlardan) veya yalnızca özel (yalnızca özel uç noktalar aracılığıyla) erişimine izin vekleyebilirsiniz. Ad alanı oluşturulduktan sonra, belirli IP adreslerinden veya belirli sanal ağlardan (ağ hizmet uç noktalarını kullanarak) erişime izin vekleyebilirsiniz.

Ad alanı oluştururken genel erişimi yapılandırma

Genel erişimi etkinleştirmek için ad alanı oluşturma sihirbazının Ağ sayfasında Genel erişim'i seçin.

Ad alanını oluşturduktan sonra Service Bus Ad Alanı sayfasının sol menüsünde Ağ'ı seçin. Tüm Ağlar seçeneğinin belirlendiğini görürsünüz. Seçili Ağlar seçeneğini belirleyebilir ve belirli IP adreslerinden veya belirli sanal ağlardan erişime izin vekleyebilirsiniz. Sonraki bölümde, erişime izin verilen IP adreslerini belirtmek için IP güvenlik duvarını yapılandırmaya ilişkin ayrıntılar sağlanır.

Mevcut bir ad alanı için IP güvenlik duvarını yapılandırma

Bu bölümde, Service Bus ad alanı için IP güvenlik duvarı kuralları oluşturmak üzere Azure portalını nasıl kullanacağınız gösterilmektedir.

1. Azure portalında Service Bus ad alanınıza gidin.

2. Soldaki menüden Ayarlar altındaki Ağ seçeneği'ni seçin.

   Dekont

   Yalnızca premium ad alanları için Ağ sekmesini görürsünüz.

3. Ağ sayfasında, Genel ağ erişimi için aşağıdaki üç seçenekten birini ayarlayabilirsiniz. Yalnızca belirtilen IP adreslerinden erişime izin vermek için Seçili ağlar seçeneğini belirleyin.

   • Devre dışı. Bu seçenek, ad alanına genel erişimi devre dışı bırakır. Ad alanına yalnızca özel uç noktalar üzerinden erişilebilir.

     

     Güvenilen Microsoft hizmetleri güvenlik duvarını atlamasına izin vermek isteyip istemediğinizi seçin. Azure Service Bus için güvenilen Microsoft hizmetleri listesi için Güvenilen Microsoft hizmetleri bölümüne bakın.

   • Seçili ağlar. Bu seçenek, seçili ağlardan bir erişim anahtarı kullanarak ad alanına genel erişim sağlar.

     Önemli

     Seçili ağlar'ı seçerseniz, ad alanına erişimi olacak en az bir IP güvenlik duvarı kuralı veya sanal ağ ekleyin. Yalnızca özel uç noktalar üzerinden bu ad alanına gelen tüm trafiği kısıtlamak istiyorsanız Devre Dışı'nı seçin.

   • Tüm ağlar (varsayılan). Bu seçenek, erişim anahtarı kullanarak tüm ağlardan genel erişimi etkinleştirir. Tüm ağlar seçeneğini belirtirseniz, Service Bus herhangi bir IP adresinden (erişim anahtarını kullanarak) bağlantıları kabul eder. Bu ayar, 0.0.0.0/0 IP adres aralığını kabul eden bir kurala eşdeğerdir.

4. Yalnızca belirtilen IP adresinden erişime izin vermek için Seçili ağlar seçeneği seçili değilse seçeneğini belirleyin. Güvenlik Duvarı bölümünde şu adımları izleyin:

   1. Geçerli istemci IP'nize ad alanına erişim vermek için İstemci IP adresinizi ekle seçeneğini belirleyin.

   2. Adres aralığı için, CIDR gösteriminde belirli bir IPv4 adresi veya IPv4 adresi aralığı girin.

   3. Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin vermek isteyip istemediğinizi belirtin. Azure Service Bus için güvenilen Microsoft hizmetleri listesi için Güvenilen Microsoft hizmetleri bölümüne bakın.

      Uyarı

      Seçili ağlar seçeneğini belirtirseniz ve bu sayfaya en az bir IP güvenlik duvarı kuralı veya sanal ağ eklemezseniz, ad alanına genel İnternet üzerinden (erişim anahtarı kullanılarak) erişilebilir.

      

5. Ayarları kaydetmek için araç çubuğunda Kaydet'i seçin. Onayın portal bildirimlerinde gösterilmesi için birkaç dakika bekleyin.

   Dekont

   Belirli sanal ağlara erişimi kısıtlamak için bkz . Belirli ağlardan erişime izin verme.

Güvenilen Microsoft hizmetleri

Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver ayarını etkinleştirdiğinizde, aşağıdaki hizmetlere Service Bus kaynaklarınıza erişim verilir.

Güvenilen hizmet	Desteklenen kullanım senaryoları
Azure Event Grid	Azure Event Grid'in Service Bus ad alanınızdaki kuyruklara veya konulara olay göndermesine izin verir. Aşağıdaki adımları da uygulamanız gerekir: Bir konu veya etki alanı için sistem tarafından atanan kimliği etkinleştirme Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleme Ardından, sistem tarafından atanan kimliği kullanmak için uç nokta olarak Service Bus kuyruğu veya konu başlığı kullanan olay aboneliğini yapılandırın. Daha fazla bilgi için bkz . Yönetilen kimlikle olay teslimi
Azure Stream Analytics	Azure Stream Analytics işinin Service Bus kuyruklarına konu başlıklarına veri çıkışı yapmasına izin verir. Önemli: Stream Analytics işi, Service Bus ad alanına erişmek için yönetilen kimlikkullanacak şekilde yapılandırılmalıdır. Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin.
Azure IoT Hub	Bir IoT hub'ına Service Bus ad alanınızdaki kuyruklara veya konulara ileti gönderme izni verir. Aşağıdaki adımları da uygulamanız gerekir: IoT hub'ınız için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliği etkinleştirin. Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin. Kimlik tabanlı kimlik doğrulamasını kullanmak için uç nokta olarak Service Bus varlığını kullanan IoT Hub'ı yapılandırın.
Azure API Management	API Management hizmeti, Service Bus Ad Alanınızdaki bir Service Bus kuyruğuna/konusuna ileti göndermenize olanak tanır. Send-request ilkesi kullanılarak bir API çağrıldığında Service Bus kuyruğunuza/konu başlığınıza ileti göndererek özel iş akışlarını tetikleyebilirsiniz. Bir Service Bus kuyruğuna/konusuna api'de arka uç olarak da davranabilirsiniz. Örnek ilke için bkz . Service Bus kuyruğuna veya konusuna erişmek için yönetilen kimlik kullanarak kimlik doğrulaması. Aşağıdaki adımları da uygulamanız gerekir: API Management örneğinde sistem tarafından atanan kimliği etkinleştirin. Yönergeler için bkz . Azure API Management'ta yönetilen kimlikleri kullanma. Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleme
Azure IoT Central	IoT Central'ın Service Bus ad alanınızdaki Service Bus kuyruklarına veya konu başlıklarına veri aktarmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir: IoT Central uygulamanız için sistem tarafından atanan kimliği etkinleştirme Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin. Ardından IoT Central uygulamanızdaki Service Bus dışarı aktarma hedefini kimlik tabanlı kimlik doğrulamasını kullanacak şekilde yapılandırın.
Azure Digital Twins	Azure Digital Twins'in Service Bus ad alanınızdaki Service Bus konularına veri çıkışı yapmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir: Azure Digital Twins örneğiniz için sistem tarafından atanan kimliği etkinleştirin. Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin. Ardından, kimlik doğrulaması için sistem tarafından atanan kimliği kullanan bir Azure Digital Twins uç noktası veya Azure Digital Twins veri geçmişi bağlantısı yapılandırın. Azure Digital Twins'den Service Bus kaynaklarına uç noktaları ve olay yollarını yapılandırma hakkında daha fazla bilgi için bkz . Azure Digital Twins olaylarını yönlendirme ve Azure Digital Twins'de uç noktalar oluşturma.
Azure İzleyici (Tanılama Ayarlar ve Eylem Grupları)	Azure İzleyici'nin Service Bus ad alanınızdaki Service Bus'a tanılama bilgileri ve uyarı bildirimleri göndermesine izin verir. Azure İzleyici, Service Bus ad alanından veri okuyabilir ve bu ad alanına veri yazabilir.
Azure Synapse	Azure Synapse'in Synapse Çalışma Alanı Yönetilen Kimliği'ni kullanarak service bus'a bağlanmasına izin verir. Azure Service Bus Veri Göndereni, Alıcı veya Sahip rolünü Service Bus ad alanında kimliğe ekleyin.

Azure Service Bus için diğer güvenilir hizmetler aşağıda bulunabilir:

• Azure Veri Gezgini
• Azure Sağlık Verisi Hizmetleri
• Azure Arc
• Azure Kubernetes
• Azure Machine Learning
• Microsoft Purview

Resource Manager şablonu kullanma

Bu bölümde, var olan bir Service Bus ad alanına sanal ağ ve güvenlik duvarı kuralı ekleyen örnek bir Azure Resource Manager şablonu vardır.

ipMask , CIDR gösteriminde tek bir IPv4 adresi veya IP adresleri bloğudur. Örneğin, CIDR gösteriminde 70.37.104.0/24, 70.37.104.0 ile 70.37.104.255 arasında 256 IPv4 adresini temsil eder ve aralık için önemli ön ek bitlerinin sayısını belirten 24'tür.

Dekont

öğesinin defaultAction varsayılan değeridir Allow. Sanal ağ veya güvenlik duvarları kuralları eklerken olarak ayarladığınızdan defaultActionDenyemin olun.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespace_name": {
            "defaultValue": "mypremiumnamespace",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.ServiceBus/namespaces",
            "apiVersion": "2022-10-01-preview",
            "name": "[parameters('namespace_name')]",
            "location": "East US",
            "sku": {
                "name": "Premium",
                "tier": "Premium",
                "capacity": 1
            },
            "properties": {
                "premiumMessagingPartitions": 1,
                "minimumTlsVersion": "1.2",
                "publicNetworkAccess": "Enabled",
                "disableLocalAuth": false,
                "zoneRedundant": true
            }
        },
        {
            "type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
            "apiVersion": "2022-10-01-preview",
            "name": "[concat(parameters('namespace_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Şablonu dağıtmak için Azure Resource Manager yönergelerini izleyin.

Önemli

IP ve sanal ağ kuralı yoksa, olarak ayarlasanız defaultActiondenybile tüm trafik ad alanına akar. Ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak). Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağından gelen trafiğe izin vermek için en az bir IP kuralı veya sanal ağ kuralı belirtin.

Azure CLI kullanma

Service Bus ad alanının IP güvenlik duvarı kurallarını yönetmek için ekleme, listeleme, güncelleştirme ve kaldırma komutlarını kullanın az servicebus namespace network-rule-set .

Azure PowerShell kullanma

IP güvenlik duvarı kurallarını eklemek, listelemek, kaldırmak, güncelleştirmek ve silmek için aşağıdaki Azure PowerShell komutlarını kullanın.

• New-AzServiceBusIPRuleConfig ve Set-AzServiceBusNetworkRuleSet birlikte bir IP güvenlik duvarı kuralı ekleyin.

Varsayılan eylem ve genel ağ erişimi

REST API

Özelliğin defaultActionDeny varsayılan değeri API sürüm 2021-01-01-preview ve önceki sürümler içindir. Ancak, IP filtreleri veya sanal ağ (VNet) kuralları ayarlamadığınız sürece reddetme kuralı uygulanmaz. Başka bir ifadeyle, HERHANGI bir IP filtreniz veya sanal ağ kuralınız yoksa, olarak Allowdeğerlendirilir.

API 2021-06-01-preview sürümünden itibaren özelliğin defaultAction varsayılan değeri, hizmet tarafı zorlamasını doğru bir şekilde yansıtmak için şeklindedirAllow. Varsayılan eylem olarak ayarlanırsa Deny, IP filtreleri ve sanal ağ kuralları uygulanır. Varsayılan eylem olarak ayarlanırsa Allow, IP filtreleri ve sanal ağ kuralları uygulanmaz. Hizmet, kuralları kapattığınızda ve yeniden açtığınızda hatırlar.

API sürüm 2021-06-01-preview da adlı publicNetworkAccessyeni bir özellik kullanıma sunulmuştur. olarak ayarlanırsa Disabled, işlemler yalnızca özel bağlantılara kısıtlanır. olarak ayarlandıysa Enabled, genel İnternet üzerinden işlemlere izin verilir.

Bu özellikler hakkında daha fazla bilgi için bkz. Ağ Kuralı Kümesi Oluşturma veya Güncelleştirme ve Özel Uç Nokta Bağlan oluşturma veya güncelleştirme.

Dekont

Yukarıdaki ayarların hiçbiri SAS veya Microsoft Entra kimlik doğrulaması yoluyla talepleri doğrulamayı atlaamaz. Kimlik doğrulama denetimi, hizmet , publicNetworkAccess, privateEndpointConnections ayarları tarafından defaultActionyapılandırılan ağ denetimlerini doğruladıktan sonra her zaman çalışır.

Azure portalı

Azure portalı, özellikleri almak ve ayarlamak için her zaman en son API sürümünü kullanır. Ad alanınızı daha önce 2021-01-01-preview ve önceki sürümleri olarak defaultAction ayarlanmış Denyolarak yapılandırdıysanız ve sıfır IP filtresi ve sanal ağ kuralı belirtseydiniz, portal daha önce ad alanınızın Ağ sayfasında Seçili Ağlar'ı işaretlemişti. Şimdi Tüm ağlar seçeneğini denetler.

Sonraki adımlar

Azure sanal ağlarına Service Bus erişimini kısıtlamak için aşağıdaki bağlantıya bakın:

• Service Bus için Sanal Ağ Hizmet Uç Noktaları