Udostępnij za pośrednictwem


Zezwalaj na dostęp do przestrzeni nazw usługi Azure Service Bus za pośrednictwem prywatnych punktów końcowych

Usługa Azure Private Link umożliwia dostęp do usług platformy Azure (na przykład Azure Service Bus, Azure Storage i Azure Cosmos DB) oraz hostowanych przez platformę Azure usług klientów/partnerów za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej.

Prywatny punkt końcowy to interfejs sieciowy, który nawiązuje prywatne i bezpieczne połączenie z usługą obsługiwaną przez usługę Azure Private Link. Prywatny punkt końcowy używa prywatnego adresu IP z sieci wirtualnej, efektywnie przenosząc usługę do sieci wirtualnej. Cały ruch do usługi może być kierowany przez prywatny punkt końcowy. Nie jest wówczas wymagane użycie bram, urządzeń NAT, połączeń ExpressRoute, połączeń VPN ani publicznych adresów IP. Ruch między siecią wirtualną a usługą odbywa się za pośrednictwem sieci szkieletowej firmy Microsoft, eliminując ekspozycję z publicznego Internetu. Możesz nawiązać połączenie z wystąpieniem zasobu platformy Azure, zapewniając najwyższy poziom szczegółowości kontroli dostępu.

Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Private Link?

Ważne punkty

  • Ta funkcja jest obsługiwana w warstwie Premium usługi Azure Service Bus. Aby uzyskać więcej informacji na temat warstwy Premium, zobacz artykuł Service Bus Premium and Standard messaging tiers (Warstwy obsługi komunikatów w warstwie Premium i Standardowa).

  • Implementowanie prywatnych punktów końcowych może uniemożliwić innym usługom platformy Azure interakcję z usługą Service Bus. W ramach wyjątku można zezwolić na dostęp do zasobów usługi Service Bus z określonych zaufanych usług nawet wtedy, gdy prywatne punkty końcowe są włączone. Aby uzyskać listę zaufanych usług, zobacz Zaufane usługi.

    Następujące usługi firmy Microsoft muszą znajdować się w sieci wirtualnej

    • Azure App Service
    • Azure Functions
  • Określ co najmniej jedną regułę adresu IP lub regułę sieci wirtualnej dla przestrzeni nazw, aby zezwolić na ruch tylko z określonych adresów IP lub podsieci sieci wirtualnej. Jeśli nie ma reguł adresów IP i sieci wirtualnej, przestrzeń nazw może być dostępna za pośrednictwem publicznego Internetu (przy użyciu klucza dostępu).

Dodawanie prywatnego punktu końcowego przy użyciu witryny Azure Portal

Wymagania wstępne

Aby zintegrować przestrzeń nazw usługi Service Bus z usługą Azure Private Link, potrzebne są następujące jednostki lub uprawnienia:

  • Przestrzeń nazw usługi Service Bus.
  • Sieć wirtualna platformy Azure.
  • Podsieć w sieci wirtualnej. Możesz użyć domyślnej podsieci.
  • Uprawnienia właściciela lub współautora dla przestrzeni nazw usługi Service Bus i sieci wirtualnej.

Prywatny punkt końcowy i sieć wirtualna muszą znajdować się w tym samym regionie. Po wybraniu regionu prywatnego punktu końcowego przy użyciu portalu automatycznie filtruje tylko sieci wirtualne, które znajdują się w tym regionie. Przestrzeń nazw usługi Service Bus może być w innym regionie. Prywatny punkt końcowy używa prywatnego adresu IP w sieci wirtualnej.

Konfigurowanie dostępu prywatnego podczas tworzenia przestrzeni nazw

Podczas tworzenia przestrzeni nazw można zezwolić tylko na dostęp publiczny (ze wszystkich sieci) lub tylko prywatny (tylko za pośrednictwem prywatnych punktów końcowych) do przestrzeni nazw.

Jeśli wybierzesz opcję Dostęp prywatny na stronie Sieć kreatora tworzenia przestrzeni nazw, możesz dodać prywatny punkt końcowy na stronie, wybierając przycisk + Prywatny punkt końcowy. Zobacz następną sekcję, aby uzyskać szczegółowe instrukcje dotyczące dodawania prywatnego punktu końcowego.

Zrzut ekranu przedstawiający stronę Sieć kreatora Tworzenie przestrzeni nazw z wybraną opcją Dostęp prywatny.

Konfigurowanie dostępu prywatnego dla istniejącej przestrzeni nazw

Jeśli masz już istniejącą przestrzeń nazw, możesz utworzyć prywatny punkt końcowy, wykonując następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.

  2. Na pasku wyszukiwania wpisz service bus.

  3. Wybierz przestrzeń nazw z listy, do której chcesz dodać prywatny punkt końcowy.

  4. W menu po lewej stronie wybierz opcję Sieć w obszarze Ustawienia.

    Uwaga

    Zostanie wyświetlona karta Sieć tylko dla przestrzeni nazw w warstwie Premium .

  5. Na stronie Sieć w obszarze Dostęp do sieci publicznej wybierz pozycję Wyłączone, jeśli chcesz, aby dostęp do przestrzeni nazw był uzyskiwany tylko za pośrednictwem prywatnych punktów końcowych.

  6. W obszarze Zezwalaj na obejście tej zapory przez zaufane usługi firmy Microsoft wybierz pozycję Tak, jeśli chcesz zezwolić na obejście tej zapory przez zaufane usługi firmy Microsoft.

  7. Wybierz pozycję Zapisz na pasku narzędzi.

    Zrzut ekranu przedstawiający stronę Sieć z dostępem do sieci publicznej jako Wyłączone.

  8. Aby zezwolić na dostęp do przestrzeni nazw za pośrednictwem prywatnych punktów końcowych, wybierz kartę Połączenia prywatnego punktu końcowego w górnej części strony

  9. Wybierz przycisk + Prywatny punkt końcowy w górnej części strony.

    Zrzut ekranu przedstawiający stronę Połączenia prywatnego punktu końcowego z wybranym przyciskiem Dodaj prywatny punkt końcowy.

  10. Na stronie Podstawowe wykonaj następujące kroki:

    1. Wybierz subskrypcję platformy Azure, w której chcesz utworzyć prywatny punkt końcowy.

    2. Wybierz grupę zasobów dla zasobu prywatnego punktu końcowego.

    3. Wprowadź nazwę prywatnego punktu końcowego.

    4. Wprowadź nazwę interfejsu sieciowego.

    5. Wybierz region dla prywatnego punktu końcowego. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna, ale może znajdować się w innym regionie niż zasób łącza prywatnego, z którym nawiązujesz połączenie.

    6. Wybierz przycisk Dalej: Zasób > w dolnej części strony.

      Zrzut ekranu przedstawiający stronę Podstawy kreatora Tworzenia prywatnego punktu końcowego.

  11. Na stronie Zasób przejrzyj ustawienia i wybierz pozycję Dalej: Sieć wirtualna w dolnej części strony.

    Zrzut ekranu przedstawiający stronę Zasób kreatora Tworzenia prywatnego punktu końcowego.

  12. Na stronie Sieć wirtualna wybierz podsieć w sieci wirtualnej, w której chcesz wdrożyć prywatny punkt końcowy.

    1. Wybierz sieć wirtualną. Na liście rozwijanej są wyświetlane tylko sieci wirtualne w aktualnie wybranej subskrypcji i lokalizacji.
    2. Wybierz podsieć w wybranej sieci wirtualnej.
    3. Zwróć uwagę, że zasady sieciowe dla prywatnych punktów końcowych są wyłączone. Jeśli chcesz ją włączyć, wybierz pozycję Edytuj, zaktualizuj ustawienie i wybierz pozycję Zapisz.
    4. W przypadku konfiguracji prywatnego adresu IP domyślnie jest zaznaczona opcja Dynamiczne przydzielanie adresu IP. Jeśli chcesz przypisać statyczny adres IP, wybierz pozycję Statycznie przydziel adres IP*.
    5. W polu Grupa zabezpieczeń aplikacji wybierz istniejącą grupę zabezpieczeń aplikacji lub utwórz grupę, która ma być skojarzona z prywatnym punktem końcowym.
    6. Wybierz przycisk Dalej: DNS > w dolnej części strony.

    Zrzut ekranu przedstawiający stronę Sieć wirtualna kreatora Tworzenie prywatnego punktu końcowego.

  13. Na stronie DNS wybierz, czy prywatny punkt końcowy ma być zintegrowany z prywatną strefą DNS, a następnie wybierz pozycję Dalej: Tagi.

    Zrzut ekranu przedstawiający stronę DNS kreatora Tworzenia prywatnego punktu końcowego.

  14. Na stronie Tagi utwórz wszystkie tagi (nazwy i wartości), które chcesz skojarzyć z zasobem prywatnego punktu końcowego. Następnie wybierz przycisk Przejrzyj i utwórz w dolnej części strony.

  15. W obszarze Przeglądanie + tworzenie przejrzyj wszystkie ustawienia i wybierz pozycję Utwórz , aby utworzyć prywatny punkt końcowy.

    Zrzut ekranu przedstawiający stronę Przeglądanie i tworzenie kreatora Tworzenie prywatnego punktu końcowego.

  16. Upewnij się, że prywatny punkt końcowy został utworzony. Jeśli jesteś właścicielem zasobu, na stronie Sieć przestrzeni nazw usługi Service Bus połączenie punktu końcowego powinno zostać automatycznie zatwierdzone. Jeśli jest w stanie oczekiwania , zobacz sekcję Zarządzanie prywatnymi punktami końcowymi przy użyciu witryny Azure Portal .

    Zrzut ekranu przedstawiający stronę Połączenia prywatnego punktu końcowego z nowo utworzonym prywatnym punktem końcowym.

Zaufane usługi firmy Microsoft

Po włączeniu ustawienia Zezwalaj na zaufane usługi firmy Microsoft obejście tego ustawienia zapory następujące usługi otrzymują dostęp do zasobów usługi Service Bus.

Zaufana usługa Obsługiwane scenariusze użycia
Azure Event Grid Umożliwia usłudze Azure Event Grid wysyłanie zdarzeń do kolejek lub tematów w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:
  • Włączanie tożsamości przypisanej przez system dla tematu lub domeny
  • Dodawanie tożsamości do roli nadawcy danych usługi Azure Service Bus w przestrzeni nazw usługi Service Bus
  • Następnie skonfiguruj subskrypcję zdarzeń, która używa kolejki lub tematu usługi Service Bus jako punktu końcowego do korzystania z tożsamości przypisanej przez system.

Aby uzyskać więcej informacji, zobacz Dostarczanie zdarzeń przy użyciu tożsamości zarządzanej

Azure Stream Analytics Umożliwia zadanie usługi Azure Stream Analytics wyprowadzanie danych do kolejek usługi Service Bus do tematów.

Ważne: Zadanie usługi Stream Analytics należy skonfigurować tak, aby używało tożsamości zarządzanej do uzyskiwania dostępu do przestrzeni nazw usługi Service Bus. Dodaj tożsamość do roli Nadawca danych usługi Azure Service Bus w przestrzeni nazw usługi Service Bus.

Azure IoT Hub Umożliwia usłudze IoT Hub wysyłanie komunikatów do kolejek lub tematów w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:
Usługa Azure API Management

Usługa API Management umożliwia wysyłanie komunikatów do kolejki/tematu usługi Service Bus w przestrzeni nazw usługi Service Bus.

Azure IoT Central

Umożliwia usłudze IoT Central eksportowanie danych do kolejek lub tematów usługi Service Bus w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:

  • Włączanie tożsamości przypisanej przez system dla aplikacji usługi IoT Central
  • Dodaj tożsamość do roli Nadawca danych usługi Azure Service Bus w przestrzeni nazw usługi Service Bus.
  • Następnie skonfiguruj lokalizację docelową eksportu usługi Service Bus w aplikacji usługi IoT Central, aby używać uwierzytelniania opartego na tożsamościach.
Azure Digital Twins Umożliwia usłudze Azure Digital Twins wyjście danych do tematów usługi Service Bus w przestrzeni nazw usługi Service Bus. Należy również wykonać następujące czynności:

Azure Monitor (ustawienia diagnostyczne i grupy akcji) Umożliwia usłudze Azure Monitor wysyłanie informacji diagnostycznych i powiadomień o alertach do usługi Service Bus w przestrzeni nazw usługi Service Bus. Usługa Azure Monitor może odczytywać i zapisywać dane w przestrzeni nazw usługi Service Bus.
Azure Synapse Umożliwia usłudze Azure Synapse nawiązywanie połączenia z usługą Service Bus przy użyciu tożsamości zarządzanej obszaru roboczego usługi Synapse. Dodaj rolę Nadawca danych, Odbiorca lub Właściciel usługi Azure Service Bus do tożsamości w przestrzeni nazw usługi Service Bus.

Inne zaufane usługi dla usługi Azure Service Bus można znaleźć poniżej:

  • Azure Data Explorer
  • Azure Health Data Services
  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview
  • Microsoft Defender for Cloud
  • Centrum dostawcy platformy Azure

Aby zezwolić zaufanym usługom na dostęp do przestrzeni nazw, przejdź do karty Dostęp publiczny na stronie Sieć i wybierz pozycję Tak w polu Zezwalaj na zaufane usługi firmy Microsoft obejście tej zapory?.

Dodawanie prywatnego punktu końcowego przy użyciu programu PowerShell

W poniższym przykładzie pokazano, jak za pomocą programu Azure PowerShell utworzyć połączenie prywatnego punktu końcowego z przestrzenią nazw usługi Service Bus.

Prywatny punkt końcowy i sieć wirtualna muszą znajdować się w tym samym regionie. Przestrzeń nazw usługi Service Bus może być w innym regionie. Prywatny punkt końcowy używa prywatnego adresu IP w sieci wirtualnej.


$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties


Zarządzanie prywatnymi punktami końcowymi przy użyciu witryny Azure Portal

Podczas tworzenia prywatnego punktu końcowego połączenie musi zostać zatwierdzone. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, możesz zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia. Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany aprowizacji:

Akcja w usłudze Stan prywatnego punktu końcowego odbiorcy usługi Opis
None Oczekiwanie Połączenie jest tworzone ręcznie i oczekuje na zatwierdzenie od właściciela zasobu usługi Private Link.
Zatwierdzanie Zatwierdzona Połączenie zostało automatycznie lub ręcznie zatwierdzone i jest gotowe do użycia.
Odrzuć Odrzucona Połączenie zostało odrzucone przez właściciela zasobu łącza prywatnego.
Usuń Odłączony Połączenie zostało usunięte przez właściciela zasobu łącza prywatnego. Prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia.

Zatwierdzanie, odrzucanie lub usuwanie prywatnego połączenia punktu końcowego

  1. Zaloguj się w witrynie Azure Portal.
  2. Na pasku wyszukiwania wpisz service bus.
  3. Wybierz przestrzeń nazw, którą chcesz zarządzać.
  4. Wybierz kartę Sieć.
  5. Zapoznaj się z odpowiednią sekcją na podstawie operacji, którą chcesz: zatwierdzić, odrzucić lub usunąć.

Odrzucanie połączenia prywatnego punktu końcowego

  1. Jeśli istnieją jakiekolwiek połączenia prywatnego punktu końcowego, które chcesz odrzucić, niezależnie od tego, czy jest to oczekujące żądanie, czy istniejące połączenie, które zostało zatwierdzone wcześniej, wybierz połączenie punktu końcowego i wybierz przycisk Odrzuć .

    Zrzut ekranu przedstawiający stronę Połączenia prywatnego punktu końcowego z wyróżnionym przyciskiem Odrzuć.

  2. Na stronie Odrzucanie połączenia wprowadź opcjonalny komentarz i wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

    Zrzut ekranu przedstawiający stronę Odrzucanie połączenia.

  3. Na liście powinien zostać wyświetlony stan połączenia zmieniony Odrzucono.

    Zrzut ekranu przedstawiający stronę Połączenia prywatnego punktu końcowego z odrzuconym punktem końcowym.

Usuwanie połączenia prywatnego punktu końcowego

  1. Aby usunąć połączenie prywatnego punktu końcowego, wybierz je na liście, a następnie wybierz pozycję Usuń na pasku narzędzi.

    Zrzut ekranu przedstawiający stronę Połączenia z prywatnym punktem końcowym z wyróżnionym przyciskiem Usuń.

  2. Na stronie Usuwanie połączenia wybierz pozycję Tak, aby potwierdzić usunięcie prywatnego punktu końcowego. Jeśli wybierzesz pozycję Nie, nic się nie stanie.

    Zrzut ekranu przedstawiający stronę Usuwanie połączenia.

  3. Powinien zostać wyświetlony stan zmieniony na Rozłączone. Następnie punkt końcowy zniknie z listy.

Zatwierdzanie połączenia prywatnego punktu końcowego

  1. Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z komunikatem Oczekujące w stanie aprowizacji.
  2. Wybierz prywatny punkt końcowy, który chcesz zatwierdzić
  3. Wybierz przycisk Zatwierdź na pasku narzędzi.
  4. Na stronie Zatwierdź połączenie wprowadź opcjonalny komentarz i wybierz pozycję Tak. Jeśli wybierzesz pozycję Nie, nic się nie stanie.
  5. Na liście powinien zostać wyświetlony stan połączenia zmieniony na Zatwierdzone.

Należy sprawdzić, czy zasoby w sieci wirtualnej prywatnego punktu końcowego łączą się z przestrzenią nazw usługi Service Bus za pośrednictwem prywatnego adresu IP i że mają prawidłową integrację prywatnej strefy DNS.

Najpierw utwórz maszynę wirtualną, wykonując kroki opisane w temacie Tworzenie maszyny wirtualnej z systemem Windows w witrynie Azure Portal

Na karcie Sieć :

  1. Określ sieć wirtualną i podsieć. Musisz wybrać sieć wirtualną, w której wdrożono prywatny punkt końcowy.
  2. Określ zasób publicznego adresu IP.
  3. W polu Sieciowa grupa zabezpieczeń karty sieciowej wybierz pozycję Brak.
  4. W obszarze Równoważenie obciążenia wybierz pozycję Nie.

Połącz się z maszyną wirtualną, otwórz wiersz polecenia i uruchom następujące polecenie:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Powinien zostać wyświetlony wynik podobny do poniższego.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Ograniczenia i zagadnienia dotyczące projektowania

  • Aby uzyskać informacje o cenach, zobacz Cennik usługi Azure Private Link.
  • Ta funkcja jest dostępna we wszystkich regionach publicznych platformy Azure.
  • Maksymalna liczba prywatnych punktów końcowych na przestrzeń nazw usługi Service Bus: 120.
  • Ruch jest blokowany w warstwie aplikacji, a nie w warstwie TCP. W związku z tym widzisz, że połączenia TCP lub nslookup operacje kończą się powodzeniem względem publicznego punktu końcowego, mimo że dostęp publiczny jest wyłączony.

Aby uzyskać więcej informacji, zobacz Azure Private Link Service: Limitations (Usługa Azure Private Link: ograniczenia)

Następne kroki