Настройка брандмауэра IP-адресов для разделов и доменов службы "Сетка событий Azure"
По умолчанию раздел и домен доступны из Интернета при условии, что запрос поступает с действительными данными для аутентификации и авторизации. С помощью IP-брандмауэра такой доступ можно дополнительно ограничить набором или диапазоном IPv4-адресов, введя их в нотации CIDR. Издатели, исходящие из любого другого IP-адреса, будут отклонены и получат ответ 403 (запрещено). Дополнительные сведения о функциях безопасности сети, поддерживаемых службой "Сетка событий", см. в разделе Сетевая безопасность для сетки событий.
В этой статье объясняется, как настроить параметры брандмауэра IP-адресов для разделов и доменов Сетки событий Azure.
Использование портала Azure
В этом разделе показано, как с помощью портала Azure настроить открытый или закрытый доступ при создании раздела или для существующего раздела. Действия, приведенные в этом разделе, предназначены для разделов. Аналогичные действия можно использовать при настройке открытого или закрытого доступа для доменов.
При создании раздела
В этом разделе показано, как настроить доступ в рамках общедоступной или частной сети для раздела или домена Сетки событий. Пошаговые инструкции по созданию нового раздела см. в статье Создание пользовательского раздела.
На странице Основные сведения мастера создания раздела нажмите кнопку Далее: Сетевые подключения в нижней части страницы после заполнения обязательных полей.
Если вы хотите разрешить клиентам подключаться к конечной точке раздела через общедоступный IP-адрес, убедитесь, что выбран режим Общий доступ.
Вы можете ограничить доступ к разделу с определенных IP-адресов, указав значения в поле Диапазон адресов . Укажите один IPv4-адрес или диапазон IP-адресов в нотации CIDR.
Чтобы разрешить доступ к разделу "Сетка событий" через частную конечную точку, выберите режим Частный доступ.
С помощью инструкций в разделе Добавление частной конечной точки с помощью портала Azure создайте частную конечную точку.
Для существующего раздела
В портал Azure перейдите к разделу или домену Сетки событий и перейдите на вкладку Сеть.
Выберите общедоступные сети, чтобы разрешить всем сетям, включая Интернет, доступ к ресурсу.
Вы можете ограничить доступ к разделу с определенных IP-адресов, указав значения в поле Диапазон адресов . Укажите один IPv4-адрес или диапазон IP-адресов в нотации CIDR.
Выберите вариант Только частные конечные точки, чтобы разрешить доступ к этому ресурсу только частным конечным точкам. Используйте вкладку Подключения частных конечных точек на этой странице для управления подключениями.
Пошаговые инструкции по созданию подключения к частной конечной точке см. в разделе Добавление частной конечной точки с помощью портала Azure.
На панели инструментов щелкните Сохранить.
Использование Azure CLI
В этом разделе показано, как использовать команды Azure CLI для создания разделов с правилами IP-адресов для входящего трафика. Действия, приведенные в этом разделе, предназначены для разделов. Аналогичные действия можно использовать для создания правил IP-адресов для входящего трафика для доменов.
Включение и отключение доступа для общедоступной сети
По умолчанию доступ для общедоступной сети для разделов и доменов включен. Его также можно включить или отключить явным образом. Трафик можно ограничить, настроив правила брандмауэра для IP-адресов для входящего трафика.
Включение доступа для общедоступной сети при создании раздела
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled
Отключение доступа для общедоступной сети при создании раздела
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access disabled
Примечание
Если доступ для общедоступной сети отключен для раздела или домена, трафик через общедоступный Интернет не разрешен. Доступ к этим ресурсам будет разрешен только для подключений к частным конечным точкам.
Включение доступа для общедоступной сети для существующего раздела
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled
Отключение доступа для общедоступной сети для существующего раздела
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access disabled
Создание раздела с единым правилом IP-адресов для входящего трафика
Следующий пример команды CLI создает раздел Сетки событий с правилами IP-адресов для входящего трафика.
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR or CIDR MASK> allow
Создание раздела с несколькими правилами IP-адресов для входящего трафика
Следующий пример команды CLI создает в разделе Сетки событий два правила входящего IP-адреса в одном шаге:
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
--inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow
Обновление существующего раздела для добавления правил IP-адресов для входящего трафика
В этом примере сначала создается раздел Сетки событий, а затем добавляются правила входящего IP-адреса для этого раздела в отдельной команде. Здесь также обновляются правила IP-адресов для входящего трафика, которые были заданы во второй команде.
# create the event grid topic first
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location
# add inbound IP rules to an existing topic
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR or CIDR MASK> allow
# later, update topic with additional ip rules
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
--inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow
Удаление правила IP-адресов для входящего трафика
Следующая команда удаляет второе правило, созданное на предыдущем шаге, указывая только первое правило при обновлении параметра.
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow
Использование PowerShell
В этом разделе показано, как использовать команды Azure PowerShell для создания разделов сетки событий Azure с правилами брандмауэра для IP-адресов для входящего трафика. Действия, приведенные в этом разделе, предназначены для разделов. Аналогичные действия можно использовать для создания правил IP-адресов для входящего трафика для доменов.
По умолчанию доступ для общедоступной сети для разделов и доменов включен. Его также можно включить или отключить явным образом. Трафик можно ограничить, настроив правила брандмауэра для IP-адресов для входящего трафика.
Включение доступа для общедоступной сети при создании раздела
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled
Отключение доступа для общедоступной сети при создании раздела
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled
Примечание
Если доступ для общедоступной сети отключен для раздела или домена, трафик через общедоступный Интернет не разрешен. Доступ к этим ресурсам будет разрешен только для подключений к частным конечным точкам.
Создание раздела с правилами доступа для общедоступной сети и правилами IP-адресов для входящего трафика
Следующий пример команды CLI создает раздел Сетки событий с доступом к общедоступной сети и правилами входящих IP-адресов.
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }
Обновление существующего раздела с правилами доступа для общедоступной сети и правилами IP-адресов для входящего трафика
Следующий пример команды CLI обновляет существующий раздел Сетки событий с помощью правил IP-адресов для входящего трафика.
Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}
Отключение доступа для общедоступной сети для существующего раздела
Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}
Дальнейшие действия
- Ознакомьтесь со сведениями о мониторинге доставки сообщений в службе "Сетка событий".
- Дополнительные сведения о ключе аутентификации см. в статье Сетка событий: безопасность и проверка подлинности.
- Дополнительные сведения о создании подписки на Сетку событий Azure см. в статье Схема подписки для службы "Сетка событий".
- Сведения об устранении неполадок с сетевым подключением см. в разделе Устранение неполадок с сетевым подключением.