Azure 事件方格的網路安全性資源
本文說明如何搭配 Azure 事件方格使用下列安全性功能:
- 用於輸出的服務標記
- 輸入的 IP 防火牆規則
- 輸入的私人端點
服務標籤
服務標籤代表來自指定 Azure 服務的一組 IP 位址首碼。 Microsoft 會管理服務標籤包含的位址前置詞,並隨著位址變更自動更新服務標籤,而盡可能簡化網路安全性規則頻繁的更新。 如需服務標籤的詳細資訊,請參閱服務標籤概觀。
您可使用服務標籤來定義網路安全性群組或 Azure 防火牆的網路存取控制。 建立安全性規則時,請以服務標籤取代特定的 IP 位址。 在正確的「來源」或規則的「目的地」欄位中,指定服務標籤名稱 (例如 AzureEventGrid),即可允許或拒絕對應服務的流量。
| 服務標籤 | 目的 | 可以使用輸入還是輸出? | 是否可為區域性? | 是否可與 Azure 防火牆搭配使用? |
|---|---|---|---|---|
| AzureEventGrid | Azure 事件格線。 | 兩者 | No | No |
IP 防火牆
Azure 事件方格支援發佈至主題和網域的 IP 型存取控制。 使用 IP 型控制,您可以限制發行者為主題,或僅限於核准機器和雲端服務的網域。 此功能可補助事件方格支援的驗證機制。
根據預設,只要要求隨附有效的驗證和授權,您就可以從網際網路存取主題和網域。 使用 IP 防火牆,您可以進一步限制 IP 防火牆為 CIDR (Classless Inter-Domain Routing) 標記法中,唯一一組 IP 位址或 IP 位址範圍。 來自其他任何 IP 位址的發行者會遭到拒絕,並收到 403 (禁止) 回應。
如需設定主題和網域 IP 防火牆的逐步指示,請參閱設定 IP 防火牆。
私人端點
您可以使用私人端點,不經過公用網際網路,安全地透過私人連結,允許從虛擬網路直接至主題和網域的事件輸入。 在您的虛擬網路中,私人端點是 Azure 服務的特殊網路介面。 在您建立主題或網域的私人端點後,將會在虛擬網路上的用戶端與事件方格資源之間提供安全連線。 私人端點會獲指派您虛擬網路 IP 位址範圍中的 IP 位址。 私人端點和事件方格服務間的連線會使用安全的私人連結。
使用事件方格資源的私人端點讓您可以:
- 透過 Microsoft 骨幹網路,而不是公用網際網路,從虛擬網路安全存取主題或網域。
- 從搭配私人對等互連使用 VPN,或 Express Routes 連線虛擬網路的內部部署網路安全連線。
在虛擬網路中建立主題或網域的私人端點後,系統會傳送同意要求取得資源擁有者的核准。 如果要求建立私人端點的使用者也是儲存體帳戶的擁有者,則系統會自動核准此同意要求。 否則,連線會處於擱置狀態,直到核准。 虛擬網路中的應用程式可以使用相同的連接字串和授權機制,透過私人端點順暢地連線至事件方格服務。 資源擁有者可以在 Azure 入口網站中,透過資源的 [私人端點] 索引標籤,管理同意要求和私人端點。
連線私人端點
虛擬網路上使用私人端點的發行者應和用戶端連線公用端點一樣,使用相同的主題或網域連接字串。 網域名稱系統 (DNS) 解析會透過私人連結,自動將連線從虛擬網路路由至主題或網域。 根據預設,事件方格會建立一個附加至虛擬網路的私人 DNS 區域,並對私人端點進行必要的更新。 不過,如果您使用的是自己的 DNS 伺服器,則可能需要對 DNS 設定進行更多變更。
私人端點的 DNS 變更
建立私人端點後,資源的 DNS CNAME 記錄會更新為首碼 privatelink 子網域中的別名。 根據預設,系統會建立對應私人連結子網域的私人 DNS 區域。
從使用私人端點的虛擬網路外部解析主題或網域的端點 URL 時,會解析為服務的公用端點。 從裝載私人端點的 VNet 外部解析後,'topicA' 的 DNS 資源記錄是:
| 名稱 | 類型 | 值 |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
CNAME | <Azure 流量管理員設定檔> |
您可以使用 IP 防火牆,透過公用端點拒絕或控制虛擬網路外部用戶端的存取。
從裝載私人端點的虛擬網路解析時,主題或網域端點 URL 會解析為私人端點的 IP 位址。 從裝載私人端點的 VNet 內部解析後,主題 'topicA' 的 DNS 資源記錄是:
| 名稱 | 類型 | 值 |
|---|---|---|
topicA.westus.eventgrid.azure.net |
CNAME | topicA.westus.privatelink.eventgrid.azure.net |
topicA.westus.privatelink.eventgrid.azure.net |
A | 10.0.0.5 |
此方法讓您可以使用相同的連接字串,在裝載私人端點的虛擬網路用戶端,及虛擬網路外部的用戶端存取主題或網域。
如果您在網路上使用自訂 DNS 伺服器,用戶端可將主題或網域端點的完整網域名稱 FQDN 解析為私人端點 IP 位址。 設定 DNS 伺服器,將私人連結子網域委派給虛擬網路的私人 DNS 區域,或使用私人端點 IP 位址設定 topicOrDomainName.regionName.privatelink.eventgrid.azure.net 的 A 記錄。
建議的 DNS 區域名稱是 privatelink.eventgrid.azure.net。
私人端點和發佈
下表說明私人端點連線的各種狀態,及發佈的影響:
| 連接狀態 | 成功發佈 (是/否) |
|---|---|
| 核准 | Yes |
| 已拒絕 | No |
| 待定 | No |
| 已中斷連接 | No |
若要成功發佈,私人端點連線狀態應為核准。 如果連線遭到拒絕,就無法使用 Azure 入口網站核准。 唯一可行的方法是刪除連線,並建立新的連線取而代之。
配額和限制
每個主題或網域的 IP 防火牆規則和私人端點連線數目有限制。 請參閱事件方格配額和限制。
下一步
您可以設定事件方格資源的 IP 防火牆,以限制只能從一組選取的 IP 位址或 IP 位址範圍存取公用網際網路。 如需逐步指示,請參閱設定 IP 防火牆。
您可以設定私人端點,以限制只允許來自所選虛擬網路的存取。 如需逐步指示,請參閱設定私人端點。
若要排解網路連線問題,請參閱對網路連線問題進行疑難排解。