Permitir acesso a namespaces do Barramento de Serviço do Azure por meio de pontos de extremidade privados
O Serviço de Link Privado do Azure permite que você acesse os serviços do Azure (por exemplo, o Barramento de Serviço do Azure, o Armazenamento do Azure e o Azure Cosmos DB) e os serviços de cliente/parceiro hospedados pelo Azure em um ponto de extremidade privado em sua rede virtual.
Um ponto final privado é uma interface de rede que o liga a um serviço de forma privada e segura com a tecnologia Azure Private Link. O ponto final privado utiliza um endereço IP privado da sua rede virtual, para que possa aceder ao serviço de forma eficaz na sua rede virtual. Todo o tráfego para o serviço pode ser encaminhado através do ponto final privado, pelo que não são necessários gateways, dispositivos NAT, ligações ExpressRoute ou VPN nem endereços IP públicos. O tráfego entre a rede virtual e o serviço percorre a rede de backbone da Microsoft, eliminando a exposição da Internet pública. Você pode se conectar a uma instância de um recurso do Azure, oferecendo o mais alto nível de granularidade no controle de acesso.
Para obter mais informações, consulte O que é o Azure Private Link?
Pontos importantes
Esse recurso é suportado com a camada premium do Barramento de Serviço do Azure. Para obter mais informações sobre a camada premium, consulte o artigo Service Bus Premium e Standard messaging tiers .
A implementação de pontos finais privados pode impedir que outros serviços do Azure interajam com o Service Bus. Como exceção, você pode permitir o acesso aos recursos do Service Bus a partir de determinados serviços confiáveis, mesmo quando os pontos de extremidade privados estão habilitados. Para obter uma lista de serviços confiáveis, consulte Serviços confiáveis.
Os seguintes serviços da Microsoft são necessários para estar em uma rede virtual
- Serviço de Aplicações do Azure
- Funções do Azure
Especifique pelo menos uma regra IP ou regra de rede virtual para o namespace para permitir o tráfego somente dos endereços IP especificados ou sub-rede de uma rede virtual. Se não houver regras de IP e rede virtual, o namespace pode ser acessado pela Internet pública (usando a chave de acesso).
Adicionar um ponto de extremidade privado usando o portal do Azure
Pré-requisitos
Para integrar um namespace do Service Bus ao Azure Private Link, você precisa das seguintes entidades ou permissões:
- Um namespace do Service Bus.
- Uma rede virtual do Azure.
- Uma sub-rede na rede virtual. Você pode usar a sub-rede padrão .
- Permissões de proprietário ou colaborador para o namespace do Service Bus e a rede virtual.
O ponto final privado e a rede virtual têm de estar na mesma região. Quando você seleciona uma região para o ponto de extremidade privado usando o portal, ele filtra automaticamente apenas as redes virtuais que estão nessa região. O espaço de nomes do Service Bus pode estar numa região diferente. Além disso, seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.
Configurar o acesso privado ao criar um namespace
Ao criar um namespace, você pode permitir acesso somente público (de todas as redes) ou privado (somente por meio de pontos de extremidade privados) ao namespace.
Se você selecionar a opção Acesso privado na página Rede do assistente de criação de namespace, poderá adicionar um ponto de extremidade privado na página selecionando o botão + Ponto de extremidade privado. Consulte a próxima seção para obter as etapas detalhadas para adicionar um ponto de extremidade privado.
Configurar acesso privado para um namespace existente
Se você já tiver um namespace existente, poderá criar um ponto de extremidade privado seguindo estas etapas:
Inicie sessão no portal do Azure.
Na barra de pesquisa, digite Service Bus.
Selecione o namespace na lista ao qual você deseja adicionar um ponto de extremidade privado.
No menu à esquerda, selecione a opção Rede em Configurações.
Nota
Você vê a guia Rede somente para namespaces premium .
Na página Rede, para Acesso à rede pública, selecione Desabilitado se desejar que o namespace seja acessado somente por meio de pontos de extremidade privados.
Em Permitir que serviços confiáveis da Microsoft ignorem esse firewall, selecione Sim se quiser permitir que serviços confiáveis da Microsoft ignorem esse firewall.
Selecione Guardar na barra de ferramentas.
Para permitir o acesso ao namespace por meio de pontos de extremidade privados, selecione a guia Conexões de ponto de extremidade privado na parte superior da página
Selecione o botão + Ponto Final Privado na parte superior da página.
Na página Noções básicas, siga estas etapas:
Selecione a assinatura do Azure na qual você deseja criar o ponto de extremidade privado.
Selecione o grupo de recursos para o recurso de ponto de extremidade privado.
Insira um nome para o ponto de extremidade privado.
Insira um nome para a interface de rede.
Selecione uma região para o ponto de extremidade privado. Seu ponto de extremidade privado deve estar na mesma região que sua rede virtual, mas pode estar em uma região diferente do recurso de link privado ao qual você está se conectando.
Selecione Next: Resource > button na parte inferior da página.
Na página Recurso, revise as configurações e selecione Avançar: Rede Virtual na parte inferior da página.
Na página Rede Virtual, selecione a sub-rede em uma rede virtual para onde deseja implantar o ponto de extremidade privado.
- Selecione uma rede virtual. Apenas as redes virtuais na subscrição e localização atualmente selecionadas estão listadas na lista pendente.
- Selecione uma sub-rede na rede virtual selecionada.
- Observe que a diretiva de rede para pontos de extremidade privados está desabilitada. Se quiser ativá-lo, selecione editar, atualize a configuração e selecione Salvar.
- Para Configuração de IP privado, por padrão, a opção Alocar endereço IP dinamicamente está selecionada. Se quiser atribuir um endereço IP estático, selecione Alocar estaticamente o endereço IP*.
- Para Grupo de segurança de aplicativo, selecione um grupo de segurança de aplicativo existente ou crie um que será associado ao ponto de extremidade privado.
- Selecione Next: botão DNS > na parte inferior da página.
Na página DNS, selecione se deseja que o ponto de extremidade privado seja integrado a uma zona DNS privada e selecione Avançar: Tags.
Na página Etiquetas, crie quaisquer etiquetas (nomes e valores) que pretenda associar ao recurso de ponto de extremidade privado. Em seguida, selecione o botão Rever + criar na parte inferior da página.
Em Rever + criar, reveja todas as definições e selecione Criar para criar o ponto de extremidade privado.
Confirme se o ponto de extremidade privado foi criado. Se você for o proprietário do recurso, na página Rede do namespace do Service Bus, a conexão do ponto de extremidade deverá ser aprovada automaticamente. Se estiver no estado pendente, consulte a seção Gerenciar pontos de extremidade privados usando o portal do Azure.
Serviços fidedignos da Microsoft
Quando você habilita a configuração Permitir que serviços confiáveis da Microsoft ignorem esse firewall , os seguintes serviços recebem acesso aos recursos do Service Bus.
Serviço de confiança | Cenários de utilização suportados |
---|---|
Grelha de Eventos do Azure | Permite que a Grade de Eventos do Azure envie eventos para filas ou tópicos em seu namespace do Service Bus. Você também precisa fazer as seguintes etapas:
Para obter mais informações, consulte Entrega de eventos com uma identidade gerenciada |
Azure Stream Analytics | Permite que um trabalho do Azure Stream Analytics produza dados para filas do Barramento de Serviço para tópicos. Importante: O trabalho do Stream Analytics deve ser configurado para usar uma identidade gerenciada para acessar o namespace do Service Bus. Adicione a identidade à função Remetente de Dados do Barramento de Serviço do Azure no namespace do Barramento de Serviço . |
Hub IoT do Azure | Permite que um hub IoT envie mensagens para filas ou tópicos em seu namespace do Service Bus. Você também precisa fazer as seguintes etapas:
|
API Management do Azure | O serviço de Gerenciamento de API permite que você envie mensagens para uma fila/tópico do Service Bus em seu namespace do Service Bus.
|
Azure IoT Central | Permite que o IoT Central exporte dados para filas ou tópicos do Service Bus em seu namespace do Service Bus. Você também precisa fazer as seguintes etapas:
|
Azure Digital Twins | Permite que os Gêmeos Digitais do Azure enviem dados para tópicos do Barramento de Serviço em seu namespace do Barramento de Serviço. Você também precisa fazer as seguintes etapas:
|
Azure Monitor (Configurações de Diagnóstico e Grupos de Ação) | Permite que o Azure Monitor envie informações de diagnóstico e notificações de alerta para o Service Bus em seu namespace do Service Bus. O Azure Monitor pode ler e gravar dados no namespace do Service Bus. |
Azure Synapse | Permite que o Azure Synapse se conecte ao barramento de serviço usando a Identidade Gerenciada do Espaço de Trabalho Synapse. Adicione a função Remetente, Recetor ou Proprietário de Dados do Barramento de Serviço do Azure à identidade no namespace do Barramento de Serviço. |
Os outros serviços confiáveis para o Barramento de Serviço do Azure podem ser encontrados abaixo:
- Azure Data Explorer
- Serviços de Dados de Saúde do Azure
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
- Microsoft Defender para a Cloud
- Azure Provider Hub
Para permitir que serviços confiáveis acessem seu namespace, alterne para a guia Acesso Público na página Rede e selecione Sim para Permitir que serviços confiáveis da Microsoft ignorem esse firewall?.
Adicionar um ponto de extremidade privado usando o PowerShell
O exemplo a seguir mostra como usar o Azure PowerShell para criar uma conexão de ponto de extremidade privada com um namespace do Service Bus.
O ponto final privado e a rede virtual têm de estar na mesma região. O espaço de nomes do Service Bus pode estar numa região diferente. Além disso, seu ponto de extremidade privado usa um endereço IP privado em sua rede virtual.
$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"
# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation
# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName $rgName `
-Location $vnetlocation `
-Name $vnetName `
-AddressPrefix 10.0.0.0/16
# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name $subnetName `
-AddressPrefix 10.0.0.0/24 `
-PrivateEndpointNetworkPoliciesFlag "Disabled" `
-VirtualNetwork $virtualNetwork
# update virtual network
$virtualNetwork | Set-AzVirtualNetwork
# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -
# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
-Name $peConnectionName `
-PrivateLinkServiceId $namespaceResource.ResourceId `
-GroupId "namespace"
# get subnet object that you will use in the next step
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
| Where-Object {$_.Name -eq $subnetName}
# now, create private endpoint
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName `
-Name $vnetName `
-Location $vnetlocation `
-Subnet $subnet `
-PrivateLinkServiceConnection $privateEndpointConnection
(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties
Gerenciar pontos de extremidade privados usando o portal do Azure
Quando você cria um ponto de extremidade privado, a conexão deve ser aprovada. Se o recurso para o qual você está criando um ponto de extremidade privado estiver em seu diretório, você poderá aprovar a solicitação de conexão desde que tenha permissões suficientes. Se você estiver se conectando a um recurso do Azure em outro diretório, deverá aguardar que o proprietário desse recurso aprove sua solicitação de conexão.
Há quatro estados de provisionamento:
Ação do serviço | Estado do ponto de extremidade privado do consumidor do serviço | Description |
---|---|---|
None | Pendente | A conexão é criada manualmente e está pendente de aprovação do proprietário do recurso Link Privado. |
Aprovar | Aprovado | A conexão foi aprovada automática ou manualmente e está pronta para ser usada. |
Rejeitar | Rejeitado | A conexão foi rejeitada pelo proprietário do recurso de link privado. |
Remover | Desligado | A conexão foi removida pelo proprietário do recurso de link privado. O ponto de extremidade privado torna-se informativo e deve ser excluído para limpeza. |
Aprovar, rejeitar ou remover uma conexão de ponto de extremidade privada
- Inicie sessão no portal do Azure.
- Na barra de pesquisa, digite Service Bus.
- Selecione o namespace que você deseja gerenciar.
- Selecione o separador Rede.
- Consulte a seção a seguir apropriada com base na operação desejada: aprovar, rejeitar ou remover.
Rejeitar uma conexão de ponto de extremidade privada
Se houver alguma conexão de ponto de extremidade privada que você deseja rejeitar, seja uma solicitação pendente ou uma conexão existente que foi aprovada anteriormente, selecione a conexão de ponto de extremidade e selecione o botão Rejeitar .
Na página Rejeitar conexão, insira um comentário opcional e selecione Sim. Se você selecionar Não, nada acontece.
Você deve ver o status da conexão na lista alterada Rejeitado.
Remover uma conexão de ponto de extremidade privada
Para remover uma conexão de ponto de extremidade privada, selecione-a na lista e selecione Remover na barra de ferramentas.
Na página Excluir conexão, selecione Sim para confirmar a exclusão do ponto de extremidade privado. Se você selecionar Não, nada acontece.
Você verá o status alterado para Desconectado. Em seguida, o ponto de extremidade desaparece da lista.
Aprovar uma conexão de ponto de extremidade privada
- Se houver conexões pendentes, você verá uma conexão listada com Pendente no estado de provisionamento.
- Selecione o ponto de extremidade privado que deseja aprovar
- Selecione o botão Aprovar na barra de ferramentas.
- Na página Aprovar conexão, insira um comentário opcional e selecione Sim. Se você selecionar Não, nada acontece.
- Você verá o status da conexão na lista alterada para Aprovado.
Validar se a conexão de link privado funciona
Você deve validar se os recursos dentro da rede virtual do ponto de extremidade privado estão se conectando ao seu namespace do Service Bus por meio de um endereço IP privado e se eles têm a integração de zona DNS privada correta.
Primeiro, crie uma máquina virtual seguindo as etapas em Criar uma máquina virtual do Windows no portal do Azure
Na guia Rede:
- Especifique Rede virtual e Sub-rede. Você deve selecionar a Rede Virtual na qual implantou o ponto de extremidade privado.
- Especifique um recurso IP público.
- Para o grupo de segurança de rede NIC, selecione Nenhum.
- Para Balanceamento de carga, selecione Não.
Conecte-se à VM, abra a linha de comando e execute o seguinte comando:
nslookup <service-bus-namespace-name>.servicebus.windows.net
Você verá um resultado semelhante ao seguinte.
Non-authoritative answer:
Name: <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address: 10.0.0.4 (private IP address associated with the private endpoint)
Aliases: <service-bus-namespace-name>.servicebus.windows.net
Limitações e considerações de design
- Para obter informações sobre preços, consulte Preços do Link Privado do Azure.
- Esse recurso está disponível em todas as regiões públicas do Azure.
- Número máximo de pontos de extremidade privados por namespace do Service Bus: 120.
- O tráfego é bloqueado na camada de aplicativo, não na camada TCP. Portanto, você vê conexões TCP ou
nslookup
operações bem-sucedidas no ponto de extremidade público, mesmo que o acesso público esteja desabilitado.
Para saber mais, consulte Serviço de Link Privado do Azure: Limitações
Próximos passos
- Saiba mais sobre o Azure Private Link
- Saiba mais sobre o Barramento de Serviço do Azure