Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
По умолчанию раздел и домен доступны из Интернета, если запрос поставляется с допустимой проверкой подлинности и авторизацией. С помощью брандмауэра для IP-адресов такой доступ можно дополнительно ограничить набором или диапазоном IPv4-адресов в нотации CIDR. Издатели, исходящие из любого другого IP-адреса, будут отклонены и получат ответ 403 (запрещено). Дополнительные сведения о функциях безопасности сети, поддерживаемых сеткой событий, см. в разделе "Безопасность сети" для сетки событий.
В этой статье описывается настройка параметров брандмауэра IP для разделов или доменов сетки событий Azure.
Используйте портал Azure
В этом разделе показано, как использовать портал Azure для включения общедоступного или частного доступа при создании раздела или существующего раздела. Действия, описанные в этом разделе, предназначены для тем. Для включения общедоступного или частного доступа для доменов можно использовать аналогичные действия.
При создании раздела
В этом разделе показано, как включить доступ к общедоступной или частной сети для раздела сетки событий или домена. Пошаговые инструкции по созданию нового раздела см. в разделе "Создание настраиваемого раздела".
На странице "Основы " мастера создания разделов нажмите кнопку "Далее: Сеть " в нижней части страницы после заполнения обязательных полей.
Если вы хотите разрешить клиентам подключаться к конечной точке раздела через общедоступный IP-адрес, установите флажок "Общедоступный доступ ".
Вы можете ограничить доступ к разделу из определенных IP-адресов, указав значения для поля диапазона адресов . Укажите один IPv4-адрес или диапазон IP-адресов в нотации маршрутизации без классов (CIDR).
Чтобы разрешить доступ к разделу "Сетка событий" через частную конечную точку, выберите параметр "Частный доступ ".
Следуйте инструкциям в разделе "Добавление частной конечной точки с помощью портала Azure ", чтобы создать частную конечную точку.
Для существующего раздела
На портале Azure перейдите к разделу сетки событий или домену и перейдите на вкладку "Сеть ".
Выберите общедоступные сети, чтобы разрешить доступ ко всем сетям, включая Интернет, к ресурсу.
Вы можете ограничить доступ к разделу из определенных IP-адресов, указав значения для поля диапазона адресов . Укажите один IPv4-адрес или диапазон IP-адресов в нотации маршрутизации без классов (CIDR).
Выберите только частные конечные точки, чтобы разрешить доступ к этому ресурсу лишь через частные конечные точки. Перейдите на вкладку "Подключения частной конечной точки " на этой странице для управления подключениями.
Пошаговые инструкции по созданию подключения к частной конечной точке см. в статье "Добавление частной конечной точки" с помощью портала Azure.
На панели инструментов щелкните Сохранить.
Использование Azure CLI
В этом разделе показано, как использовать команды Azure CLI для создания разделов с правилами входящего IP-адреса. Действия, описанные в этом разделе, предназначены для тем. Для создания правил входящего IP-адреса для доменов можно использовать аналогичные действия.
Включение или отключение доступа к общедоступной сети
По умолчанию для разделов и доменов включен доступ к общедоступной сети. Вы также можете включить его явным образом или отключить. Вы можете ограничить трафик, настроив правила брандмауэра для входящего IP-адреса.
Включение доступа к общедоступной сети при создании раздела
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled
Отключение доступа к общедоступной сети при создании раздела
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access disabled
Замечание
Если доступ к общедоступной сети отключен для раздела или домена, трафик через общедоступный Интернет не разрешен. Доступ к этим ресурсам разрешен только для подключений к частным конечным точкам.
Включение доступа к общедоступной сети для существующего раздела
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled
Отключение доступа к общедоступной сети для существующего раздела
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access disabled
Создайте тему с одним правилом входящего IP
В следующем примере команды CLI создается раздел сетки событий с правилами входящего IP-адреса.
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR or CIDR MASK> allow
Создание темы с несколькими правилами входящих IP-адресов
Следующая примерная команда CLI создает раздел "Сетка событий" двух правил входящего IP-адреса на одном шаге:
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
--inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow
Обновление существующего раздела для добавления правил для входящих IP
В этом примере сначала создается раздел "Сетка событий", а затем добавляется правила входящего IP-адреса для раздела в отдельной команде. Он также обновляет правила входящего IP-адреса, заданные во второй команде.
# create the event grid topic first
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location
# add inbound IP rules to an existing topic
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR or CIDR MASK> allow
# later, update topic with additional ip rules
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
--inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow
Удалите правило для входящего IP-адреса
Следующая команда удаляет второе правило, созданное на предыдущем шаге, указав только первое правило при обновлении параметра.
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow
Использование PowerShell
В этом разделе показано, как использовать команды Azure PowerShell для создания разделов Сетки событий Azure с правилами брандмауэра для входящих IP-адресов. Действия, описанные в этом разделе, предназначены для тем. Для создания правил входящего IP-адреса для доменов можно использовать аналогичные действия.
По умолчанию для разделов и доменов включен доступ к общедоступной сети. Вы также можете включить его явным образом или отключить. Вы можете ограничить трафик, настроив правила брандмауэра для входящего IP-адреса.
Включение доступа к общедоступной сети при создании раздела
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled
Отключение доступа к общедоступной сети при создании раздела
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled
Замечание
Если доступ к общедоступной сети отключен для раздела или домена, трафик через общедоступный Интернет не разрешен. Доступ к этим ресурсам разрешен только для подключений к частным конечным точкам.
Создание раздела с доступом к общедоступной сети и правилами входящего IP-адреса
В следующем примере команды CLI создается раздел сетки событий с доступом к общедоступной сети и правилами входящего IP-адреса.
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }
Обновление существующего раздела с доступом к общедоступной сети и правилами входящего IP-адреса
В следующем примере команды CLI обновляется существующий раздел "Сетка событий" с правилами входящего IP-адреса.
Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}
Отключение доступа к общедоступной сети для существующего раздела
Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}
Дальнейшие действия
- Сведения о мониторинге доставки событий см. в разделе Monitor Event Grid message delivery.
- Дополнительные сведения о ключе проверки подлинности см. в разделе "Безопасность и проверка подлинности сетки событий".
- Дополнительные сведения о создании подписки на Сетку событий Azure см. в статье Схема подписки для службы "Сетка событий".
- Устранение неполадок с сетевым подключением см. в статье "Устранение неполадок с сетевым подключением"