Разрешить доступ к пространствам имен Центров событий Azure из определенных IP-адресов или диапазонов

По умолчанию пользователи могут получать доступ к пространствам имен Event Hubs из Интернета при условии, что запрос сопровождается допустимой проверкой подлинности и авторизацией. С помощью IP-брандмауэра можно ограничить доступ только к набору адресов IPv4 и IPv6 или диапазонов адресов в нотации CIDR (бесклассовая междоменная маршрутизация).

Эта функция полезна в сценариях, когда Центры событий Azure должны быть доступны только из некоторых известных сайтов. Правила брандмауэра позволяют настроить правила для приема трафика, исходящего из определенных адресов IPv4 и IPv6. Например, если вы используете Центры событий с Azure Express Route, можно создать правило брандмауэра , чтобы разрешить трафик только из IP-адресов локальной инфраструктуры.

Правила брандмауэра для IP-адресов

Правила IP-брандмауэра указываются на уровне пространства имен Event Hubs. Правила применяются ко всем подключениям от клиентов с помощью любого поддерживаемого протокола. Пространство имен Центров событий отклоняет любую попытку подключения из IP-адреса, который не соответствует допустимому правилу IP как несанкционированный. В ответе клиенту не упоминается правило для IP-адресов. Правила брандмауэра IP применяются в порядке, а первое правило, соответствующее IP-адресу, определяет действие принятия или отклонения.

Важные аспекты

Эта функция не поддерживается на базовом уровне.
Если включить правила брандмауэра для пространства имен Центров событий, брандмауэр блокирует входящие запросы по умолчанию, если только запросы не исходят из службы, работающей с разрешенных общедоступных IP-адресов. Заблокированные запросы включают запросы из других служб Azure, на портале Azure, от служб ведения журнала и метрик и т. д. В качестве исключения можно разрешить доступ к ресурсам Центров событий из определенных доверенных служб , даже если включена фильтрация IP-адресов. Список доверенных служб см. в разделе "Доверенные службы Майкрософт".
Укажите как минимум одно правило брандмауэра для IP-адресов или правило виртуальной сети для пространства имен, разрешающее трафик только с указанных IP-адресов или подсети виртуальной сети. Если правила IP-адресов и виртуальной сети отсутствуют, пользователи могут получить доступ к пространству имен через общедоступный Интернет (с помощью ключа доступа).

Настройка правил брандмауэра с помощью портала Azure

При создании пространства имен можно разрешить доступ только к пространству имен только общедоступного (из всех сетей) или только приватного (только через частные конечные точки). После создания пространства имен можно разрешить доступ из определенных IP-адресов или из определенных виртуальных сетей (с помощью конечных точек сетевой службы).

Настройка общедоступного доступа при создании пространства имен

Чтобы включить общедоступный доступ, выберите общедоступный доступ на странице "Сеть " мастера создания пространства имен.

После создания пространства имен выберите Сеть в меню слева на странице пространства имен Event Hubs.

По умолчанию доступ к общедоступной сети включен для пространства имен для всех сетей.

Этот параметр обеспечивает общедоступный доступ из всех сетей с помощью ключа доступа. Пространство имен принимает подключения из любого IP-адреса (с помощью ключа доступа).

В следующем разделе приведены сведения о настройке правил брандмауэра IP для указания IP-адресов, из которых разрешен доступ.

Настройка брандмауэра IP для существующего пространства имен

В этом разделе показано, как использовать портал Azure для создания правил брандмауэра IP-адресов для пространства имен Центров событий.

Перейдите к пространству имен Центров событий на портале Azure.
Выберите "Сеть" в разделе "Параметры " в меню слева.
На странице "Сеть" выберите "Управление " в разделе "Доступ к общедоступной сети".
На странице доступа к общедоступной сети в разделе "Действие по умолчанию " выберите "Включить" из выбранных сетей , чтобы разрешить доступ только с указанных IP-адресов.

Important

Если выбрать выбранные сети, добавьте по крайней мере одно правило брандмауэра IP-адресов или виртуальную сеть с доступом к пространству имен. Выберите "Отключено" , если вы хотите ограничить весь трафик в это пространство имен только через частные конечные точки .
В разделе IP-адресов выберите "Добавить IP-адрес клиента ", чтобы предоставить текущий IP-адрес клиента доступ к пространству имен.
Для диапазона адресов введите определенные адреса IPv4 или IPv6 или диапазоны адресов в нотации CIDR.

Important

Рекомендуем добавить IPv6-адреса в список разрешенных IP-адресов сейчас, чтобы ваши клиентские устройства не переставали работать, когда служба переключится на поддержку только IPv6.
В разделе "Исключение " укажите, следует ли разрешить доверенным службам Майкрософт доступ к этому ресурсу. Дополнительные сведения см. в доверенных службах Майкрософт .
На панели инструментов нажмите Сохранить, чтобы сохранить параметры. Подождите несколько минут, чтобы в уведомлениях портала появилось подтверждение.

Note

Чтобы ограничить доступ к определенным виртуальным сетям, см. раздел Разрешение доступа из определенных сетей.

Доверенные службы Майкрософт

При включении параметра Разрешить доверенным службам Майкрософт обходить этот параметр брандмауэра доступ к ресурсам Центров событий предоставляется следующим службам в пределах одного арендатора.

Доверенная служба	Поддерживаемые сценарии использования
Сетка событий Azure	Разрешает службе "Сетка событий Azure" отправку событий в концентраторы событий в пространстве имен концентраторов событий. Кроме того, необходимо выполнить следующие действия. Включение назначенного системой удостоверения для раздела или домена Добавьте удостоверение в роль отправителя данных концентраторов событий Azure в пространстве имен концентраторов событий. Затем настроить подписку на события, использующую концентратор событий в качестве конечной точки для назначаемого системой удостоверения. Дополнительные сведения см. в разделе Доставка событий с помощью управляемого удостоверения.
Azure Stream Analytics	Позволяет заданию Azure Stream Analytics считывать данные из (входных данных) или записывать данные в (выходные данные) концентраторы событий в вашем пространстве имен концентраторов событий. Важно. Задание Stream Analytics должно быть настроено для использования управляемого удостоверения для доступа к концентратору событий. Дополнительные сведения см. в статье "Использование управляемых удостоверений для доступа к концентратору событий" из задания Azure Stream Analytics (предварительная версия).
Центр Интернета вещей Azure	Позволяет Центр Интернета вещей отправлять сообщения в центры событий в пространстве имен Центров событий. Кроме того, необходимо выполнить следующие действия. Включить назначаемое системой удостоверение для центра Интернета вещей Добавьте удостоверение в роль отправителя данных концентраторов событий Azure в пространстве имен концентраторов событий. Затем настроить центр Интернета вещей, который использует концентратор событий в качестве пользовательской конечной точки, для использования проверки подлинности на основе удостоверений.
Управление API Azure	Служба API Management позволяет отсылать события в концентратор событий в пространстве имен концентраторов событий. Пользовательские рабочие процессы можно активировать, отправив события в концентратор событий при вызове API с помощью политики отправки запросов. Концентратор событий также можно рассматривать как серверную часть в API. Пример политики см. в разделе Проверка подлинности с помощью управляемого удостоверения для доступа к концентратору событий. Вам также необходимо сделать следующие шаги: Включите назначенное системой удостоверение в экземпляре управления API. Инструкции см. в статье Использование управляемых удостоверений в службе управления API Azure. Добавьте удостоверение в роль отправителя данных концентраторов событий Azure в пространстве имен концентраторов событий.
Azure Monitor (параметры диагностики и группы действий)	Позволяет Azure Monitor отправлять диагностические сведения и оповещения концентраторам событий в пространстве имен Центров событий. Azure Monitor может выполнять чтение из концентратора событий, а также записывать данные в концентратор событий.
Azure Synapse	Позволяет Azure Synapse подключаться к концентратору событий с помощью управляемого удостоверения рабочей области Synapse. Добавьте роль отправителя данных, получателя или владельца Центры событий Azure в удостоверение в пространстве имен Центров событий.
Анализатор данных Azure	Позволяет Azure Data Explorer получать события из концентратора событий с помощью управляемого удостоверения кластера. Выполните следующие действия. Настройте управляемое удостоверение в Azure Data Explorer Предоставьте удостоверению роль Центры событий Azure приемника данных в концентраторе событий.
Azure IoT Central	Позволяет IoT Central экспортировать данные в центры событий в пространстве имен Центров событий. Вам также необходимо сделать следующие шаги: Включите назначаемое системой удостоверение для приложения IoT Central. Добавьте удостоверение в роль отправителя данных Центров событий Azure в пространстве имен Центров событий. Затем настройте для Центров событий место назначения для экспорта в приложении IoT Central, чтобы использовать проверку подлинности на основе удостоверений.
Службы Azure для работы с медицинскими данными	Позволяет соединителю IoT api здравоохранения приема данных медицинского устройства из пространства имен Центров событий и сохранять данные в настроенной службе ресурсов быстрого взаимодействия с здравоохранением (FHIR®). Соединитель Интернета вещей должен быть настроен для использования управляемого удостоверения для доступа к концентратору событий. Дополнительные сведения см. в статье "Начало работы с соединителем Интернета вещей" — API здравоохранения Azure.
Azure Digital Twins (Цифровые Двойники Azure)	Позволяет Azure Digital Twins отправлять данные в центры событий в пространстве имен Центров событий. Кроме того, необходимо выполнить следующие действия. Включите назначаемое системой удостоверение для экземпляра Azure Digital Twins. Добавьте удостоверение в роль отправителя данных Центров событий Azure в пространстве имен Центров событий. Затем настройте конечную точку Azure Digital Twins или подключение журнала данных Azure Digital Twins, которое использует назначаемое системой удостоверение для проверки подлинности. Дополнительные сведения о настройке конечных точек и маршрутов событий в ресурсы Центров событий из Azure Digital Twins см. в статье "Маршрутизация событий Azure Digital Twins" и создание конечных точек в Azure Digital Twins.

Ниже приведены другие доверенные службы для Центры событий Azure:

Azure Arc
Azure Kubernetes
Машинное обучение Azure
Microsoft Purview

Настройка правил брандмауэра с помощью шаблонов Resource Manager

Important

Функция брандмауэра не поддерживается на базовом уровне.

Следующий шаблон Resource Manager позволяет добавить правило фильтрации IP-адресов в существующее пространство имен Центров событий.

IpMask в шаблоне — это один IPv4-адрес или блок IP-адресов в нотации CIDR. Например, значение 70.37.104.0/24 в нотации CIDR представляет 256 IPv4-адресов в диапазоне от 70.37.104.0 до 70.37.104.255. Число 24 обозначает количество значимых битов префикса для адресов этого диапазона.

Note

Для фильтра defaultAction по умолчанию используется значение Allow. При добавлении правил виртуальной сети или брандмауэра задайте для параметра defaultAction значение Deny.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "namespace_name": {
            "defaultValue": "contosoehub1333",
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
        {
            "type": "Microsoft.EventHub/namespaces",
            "apiVersion": "2022-01-01-preview",
            "name": "[parameters('namespace_name')]",
            "location": "East US",
            "sku": {
                "name": "Standard",
                "tier": "Standard",
                "capacity": 1
            },
            "properties": {
                "minimumTlsVersion": "1.2",
                "publicNetworkAccess": "Enabled",
                "disableLocalAuth": false,
                "zoneRedundant": true,
                "isAutoInflateEnabled": false,
                "maximumThroughputUnits": 0,
                "kafkaEnabled": true
            }
        },
        {
            "type": "Microsoft.EventHub/namespaces/authorizationrules",
            "apiVersion": "2022-01-01-preview",
            "name": "[concat(parameters('namespace_name'), '/RootManageSharedAccessKey')]",
            "location": "eastus",
            "dependsOn": [
                "[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "rights": [
                    "Listen",
                    "Manage",
                    "Send"
                ]
            }
        },
        {
            "type": "Microsoft.EventHub/namespaces/networkRuleSets",
            "apiVersion": "2022-01-01-preview",
            "name": "[concat(parameters('namespace_name'), '/default')]",
            "location": "East US",
            "dependsOn": [
                "[resourceId('Microsoft.EventHub/namespaces', parameters('namespace_name'))]"
            ],
            "properties": {
                "publicNetworkAccess": "Enabled",
                "defaultAction": "Deny",
                "virtualNetworkRules": [],
                "ipRules": [
                    {
                        "ipMask": "10.1.1.1",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "11.0.0.0/24",
                        "action": "Allow"
                    },
                    {
                        "ipMask": "172.72.157.204",
                        "action": "Allow"
                    }
                ]
            }
        }
    ]
}

Инструкции по развертыванию шаблона см. в статье Развертывание ресурсов с помощью шаблонов ARM и Azure PowerShell.

Important

Если вы не добавляете правила IP-адресов или виртуальной сети, весь трафик передается в пространство имен, даже если задано значение defaultActiondeny. Пользователи могут получить доступ к пространству имен через общедоступный Интернет (с помощью ключа доступа). Чтобы разрешить трафик только из указанных IP-адресов или подсети виртуальной сети, укажите хотя бы одно правило IP-адресов или правило виртуальной сети для пространства имен.

Настройка правил брандмауэра с помощью Azure CLI

Используйте команды az eventhubs namespace network-rule-set добавления, перечисления, обновления и удаления для управления IP-брандмауэрными правилами в пространстве имен Event Hubs.

Настройка правил брандмауэра с помощью Azure PowerShell

Используйте командлет Set-AzEventHubNetworkRuleSet для добавления одного или нескольких правил брандмауэра IP. Пример из статьи:

$ipRule1 = New-AzEventHubIPRuleConfig -IPMask 2.2.2.2 -Action Allow
$ipRule2 = New-AzEventHubIPRuleConfig -IPMask 3.3.3.3 -Action Allow
$virtualNetworkRule1 = New-AzEventHubVirtualNetworkRuleConfig -SubnetId '/subscriptions/subscriptionId/resourcegroups/myResourceGroup/providers/Microsoft.Network/virtualNetworks/myVirtualNetwork/subnets/default'
$networkRuleSet = Get-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace
$networkRuleSet.IPRule += $ipRule1
$networkRuleSet.IPRule += $ipRule2
$networkRuleSet.VirtualNetworkRule += $virtualNetworkRule1
Set-AzEventHubNetworkRuleSet -ResourceGroupName myResourceGroup -NamespaceName myNamespace -IPRule $ipRule1,$ipRule2 -VirtualNetworkRule $virtualNetworkRule1,$virtualNetworkRule2,$virtualNetworkRule3

Действие по умолчанию и доступ к общедоступной сети

REST API

Для версий API 2021-01-01-preview и более ранних версий значение свойства по умолчанию — defaultAction. Однако служба не применяет правило запрета, если только не заданы фильтры IP-адресов или правила виртуальной сети. Если вы не задаете какие-либо фильтры IP-адресов или правила виртуальной сети, служба обрабатывает действие по умолчанию как Allow.

Начиная с API версии 2021-06-01-preview, значение свойства defaultAction по умолчанию — Allow, что точно отражает принудительное применение на стороне службы. Если задано действие Denyпо умолчанию, служба применяет фильтры IP и правила виртуальной сети. Если задано действие Allowпо умолчанию, служба не применяет фильтры IP и правила виртуальной сети. Служба запоминает правила, когда вы отключаете их и снова включаете.

API версии 2021-06-01-preview и далее также вводит новое свойство под названием publicNetworkAccess. Если для этого свойства задано значение Disabled, операции ограничены только частными ссылками. Если оно Enabledзадано, операции разрешены через общедоступный Интернет.

Дополнительные сведения об этих свойствах см. в статье "Создание или обновление набора правил сети " и "Создание или обновление подключений к частной конечной точке".

Note

Ни один из предыдущих параметров не обходят проверку утверждений с помощью SAS или проверки подлинности Microsoft Entra. Проверка подлинности всегда выполняется после того, как служба проверяет, что проверки сети, которые настраивают параметры defaultAction, publicNetworkAccess и privateEndpointConnections, завершены.

Azure portal

Портал Azure всегда использует последнюю версию API для получения и задания свойств. Если вы настроили пространство имен, используя версии 2021-01-01-preview и более ранние с набором defaultActionDeny, и вы указали нулевые IP-фильтры и правила виртуальной сети, портал ранее отмечал Выбранные сети на странице Сеть вашего пространства имен. Теперь он проверяет параметр "Все сети ".

Дальнейшие шаги

Чтобы ограничить доступ к центрам событий в виртуальных сетях Azure, ознакомьтесь со следующей статьей:

Конечные точки службы виртуальной сети для центров событий

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-01-30