Konfigurace brány firewall protokolu IP pro Azure Event Grid témata nebo domény
Ve výchozím nastavení jsou téma a doména přístupné z internetu, pokud požadavek obsahuje platné ověřování a autorizaci. S bránou firewall protokolu IP ji můžete dále omezit pouze na sadu IPv4 adres nebo rozsahů IPv4 adres v zápisu CIDR (Classless Inter-Domain Routing). Vydavatelé pocházející z jakékoli jiné IP adresy budou odmítnuti a obdrží odpověď 403 (Zakázáno). Další informace o funkcích zabezpečení sítě podporovaných službou Event Grid najdete v tématu Zabezpečení sítě pro Event Grid.
Tento článek popisuje, jak nakonfigurovat nastavení brány firewall protokolu IP pro Azure Event Grid témata nebo domény.
Použití webu Azure Portal
V této části se dozvíte, jak pomocí Azure Portal povolit veřejný nebo soukromý přístup při vytváření tématu nebo pro existující téma. Postup uvedený v této části je určený pro témata. Podobný postup můžete použít k povolení veřejného nebo privátního přístupu pro domény.
Při vytváření tématu
V této části se dozvíte, jak povolit veřejný nebo privátní síťový přístup pro téma event gridu nebo doménu. Podrobné pokyny k vytvoření nového tématu najdete v tématu Vytvoření vlastního tématu.
Na stránce Základy v průvodci Vytvořením tématu vyberte po vyplnění požadovaných polí v dolní části stránky Další: Sítě .
Pokud chcete klientům povolit připojení ke koncovému bodu tématu přes veřejnou IP adresu, ponechte vybranou možnost Veřejný přístup .
Přístup k tématu z konkrétních IP adres můžete omezit zadáním hodnot do pole Rozsah adres . V zápisu CIDR (Classless inter-domain routing) zadejte jednu IPv4 adresu nebo rozsah IP adres.
Pokud chcete povolit přístup k tématu Event Gridu prostřednictvím privátního koncového bodu, vyberte možnost Privátní přístup .
Podle pokynů v části Přidání privátního koncového bodu pomocí Azure Portal vytvořte privátní koncový bod.
Pro existující téma
V Azure Portal přejděte do tématu nebo domény služby Event Grid a přepněte na kartu Sítě.
Pokud chcete povolit přístup k prostředku všem sítím, včetně internetu, vyberte Veřejné sítě .
Přístup k tématu z konkrétních IP adres můžete omezit zadáním hodnot do pole Rozsah adres . V zápisu CIDR (Classless inter-domain routing) zadejte jednu IPv4 adresu nebo rozsah IP adres.
Výběrem možnosti Pouze privátní koncové body povolíte přístup k tomuto prostředku pouze připojením privátních koncových bodů. Ke správě připojení použijte kartu Připojení privátního koncového bodu na této stránce.
Podrobné pokyny k vytvoření připojení privátního koncového bodu najdete v tématu Přidání privátního koncového bodu pomocí Azure Portal.
Na panelu nástrojů vyberte Uložit.
Použití Azure CLI
V této části se dozvíte, jak pomocí příkazů Azure CLI vytvářet témata s příchozími pravidly IP adres. Postup uvedený v této části je určený pro témata. Podobný postup můžete použít k vytvoření pravidel příchozích IP adres pro domény.
Povolení nebo zakázání veřejného síťového přístupu
Ve výchozím nastavení je pro témata a domény povolený přístup k veřejné síti. Můžete ho také explicitně povolit nebo zakázat. Provoz můžete omezit konfigurací příchozích pravidel firewallu protokolu IP.
Povolení přístupu k veřejné síti při vytváření tématu
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled
Zakázání přístupu k veřejné síti při vytváření tématu
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access disabled
Poznámka
Pokud je pro téma nebo doménu zakázaný veřejný síťový přístup, provoz přes veřejný internet není povolený. Přístup k těmto prostředkům budou povolena pouze připojení privátních koncových bodů.
Povolení přístupu k veřejné síti pro existující téma
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled
Zákaz přístupu k veřejné síti pro existující téma
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access disabled
Vytvoření tématu s jedním příchozím pravidlem IP adresy
Následující ukázkový příkaz rozhraní příkazového řádku vytvoří téma Event Gridu s příchozími pravidly IP adres.
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR or CIDR MASK> allow
Vytvoření tématu s několika příchozími pravidly IP adres
Následující ukázkový příkaz rozhraní příkazového řádku vytvoří téma Event Gridu dvě příchozí pravidla IP adres v jednom kroku:
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
--inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow
Aktualizace existujícího tématu pro přidání pravidel příchozích IP adres
Tento příklad nejprve vytvoří téma Event Gridu a potom přidá příchozí pravidla IP adres pro toto téma v samostatném příkazu. Aktualizuje také příchozí pravidla IP adres, která byla nastavena v druhém příkazu.
# create the event grid topic first
az eventgrid topic create \
--resource-group $resourceGroupName \
--name $topicName \
--location $location
# add inbound IP rules to an existing topic
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR or CIDR MASK> allow
# later, update topic with additional ip rules
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow \
--inbound-ip-rules <IP ADDR 2 or CIDR MASK 2> allow
Odebrání příchozího pravidla IP adresy
Následující příkaz odebere druhé pravidlo, které jste vytvořili v předchozím kroku, tím, že při aktualizaci nastavení zadáte pouze první pravidlo.
az eventgrid topic update \
--resource-group $resourceGroupName \
--name $topicName \
--public-network-access enabled \
--inbound-ip-rules <IP ADDR 1 or CIDR MASK 1> allow
Použití prostředí PowerShell
V této části se dozvíte, jak pomocí příkazů Azure PowerShell vytvářet Azure Event Grid témata s příchozími pravidly brány firewall protokolu IP. Postup uvedený v této části je určený pro témata. Podobný postup můžete použít k vytvoření pravidel příchozích IP adres pro domény.
Ve výchozím nastavení je pro témata a domény povolený přístup k veřejné síti. Můžete ho také explicitně povolit nebo zakázat. Provoz můžete omezit konfigurací příchozích pravidel firewallu protokolu IP.
Povolení přístupu k veřejné síti při vytváření tématu
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled
Zakázání přístupu k veřejné síti při vytváření tématu
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess disabled
Poznámka
Pokud je pro téma nebo doménu zakázaný veřejný síťový přístup, provoz přes veřejný internet není povolený. Přístup k těmto prostředkům budou povolena pouze připojení privátních koncových bodů.
Vytvoření tématu s veřejným přístupem k síti a pravidly příchozích IP adres
Následující ukázkový příkaz rozhraní příkazového řádku vytvoří téma Event Gridu s přístupem k veřejné síti a příchozími pravidly IP adres.
New-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -Location eastus -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" }
Aktualizace existujícího tématu pomocí přístupu k veřejné síti a příchozích pravidel IP adres
Následující ukázkový příkaz rozhraní příkazového řádku aktualizuje existující téma Služby Event Grid o příchozí pravidla IP adres.
Set-AzEventGridTopic -ResourceGroupName MyResourceGroupName -Name Topic1 -PublicNetworkAccess enabled -InboundIpRule @{ "10.0.0.0/8" = "Allow"; "10.2.0.0/8" = "Allow" } -Tag @{}
Zákaz přístupu k veřejné síti pro existující téma
Set-AzEventGridTopic -ResourceGroup MyResourceGroupName -Name Topic1 -PublicNetworkAccess disabled -Tag @{} -InboundIpRule @{}
Další kroky
- Informace o monitorování doručování událostí najdete v tématu Monitorování doručování zpráv služby Event Grid.
- Další informace o ověřovacím klíči najdete v tématu Zabezpečení a ověřování služby Event Grid.
- Další informace o vytvoření předplatného Azure Event Grid najdete v tématu Schéma odběru služby Event Grid.
- Informace o řešení potíží s připojením k síti najdete v tématu Řešení potíží s připojením k síti.