Azure Event Grid kaynakları için ağ güvenliği

Bu makalede, Azure Event Grid ile aşağıdaki güvenlik özelliklerinin nasıl kullanılacağı açıklanmaktadır:

  • Çıkış için hizmet etiketleri
  • Giriş için IP Güvenlik Duvarı kuralları
  • Giriş için özel uç noktalar

Hizmet etiketleri

Hizmet etiketi, belirli bir Azure hizmetinden ip adresi ön ekleri grubunu temsil eder. Microsoft, hizmet etiketiyle kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirir ve ağ güvenlik kurallarında sık sık yapılan güncelleştirmelerin karmaşıklığını en aza indirir. Hizmet etiketleri hakkında daha fazla bilgi için bkz . Hizmet etiketlerine genel bakış.

Hizmet etiketlerini kullanarak ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlayabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını (örneğin AzureEventGrid) belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz.

Hizmet etiketi Purpose Gelen veya giden kullanılabilir mi? Bölgesel olabilir mi? Azure Güvenlik Duvarı ile kullanabilir misiniz?
AzureEventGrid Azure Event Grid. İkisi birden Hayır Hayır

IP güvenlik duvarı

Azure Event Grid, konu başlıklarına ve etki alanlarına yayımlamak için IP tabanlı erişim denetimlerini destekler. IP tabanlı denetimlerle yayımcıları bir konu veya etki alanıyla yalnızca onaylı makine ve bulut hizmetleri kümesiyle sınırlayabilirsiniz. Bu özellik, Event Grid tarafından desteklenen kimlik doğrulama mekanizmalarını tamamlar.

varsayılan olarak, istek geçerli kimlik doğrulaması ve yetkilendirme ile birlikte geldiği sürece konu ve etki alanına İnternet'ten erişilebilir. IP güvenlik duvarı ile, bunu yalnızca CIDR (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimindeki ip adresleri veya IP adresi aralıkları kümesiyle kısıtlayabilirsiniz. Başka bir IP adresinden gelen yayımcılar reddedilir ve 403 (Yasak) yanıtı alır.

Konu başlıkları ve etki alanları için IP güvenlik duvarını yapılandırmaya yönelik adım adım yönergeler için bkz . IP güvenlik duvarını yapılandırma.

Özel uç noktalar

Özel uç noktaları kullanarak doğrudan sanal ağınızdan konularınıza ve etki alanlarınıza genel İnternet üzerinden gitmeden özel bir bağlantı üzerinden güvenli bir şekilde olay girişi yapabilirsiniz. Özel uç nokta, sanal ağınızdaki bir Azure hizmeti için özel bir ağ arabirimidir. Konunuz veya etki alanınız için özel bir uç nokta oluşturduğunuzda, sanal ağınızdaki istemciler ile Event Grid kaynağınız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP adresi atanır. Özel uç nokta ile Event Grid hizmeti arasındaki bağlantı güvenli bir özel bağlantı kullanır.

Diagram that shows how private endpoints work with Event Grid.

Event Grid kaynağınız için özel uç noktaları kullanmak şunları sağlar:

  • Genel İnternet yerine Microsoft omurga ağı üzerinden bir sanal ağdan konu veya etki alanınıza güvenli erişim sağlayın.
  • Özel eşleme ile VPN veya Express Routes kullanarak sanal ağa bağlanan şirket içi ağlardan güvenli bir şekilde bağlanın.

Sanal ağınızdaki bir konu veya etki alanı için özel uç nokta oluşturduğunuzda, kaynak sahibine onay için bir onay isteği gönderilir. Özel uç noktanın oluşturulmasını isteyen kullanıcı da kaynağın sahibiyse, bu onay isteği otomatik olarak onaylanır. Aksi takdirde, bağlantı onaylanana kadar bekleme durumundadır. Sanal ağdaki uygulamalar, aksi takdirde kullanacakları aynı bağlantı dizesi ve yetkilendirme mekanizmalarını kullanarak özel uç nokta üzerinden Event Grid hizmetine sorunsuz bir şekilde bağlanabilir. Kaynak sahipleri, Azure portalındaki kaynağın Özel uç noktalar sekmesi aracılığıyla onay isteklerini ve özel uç noktaları yönetebilir.

Özel uç noktalara Bağlan

Özel uç noktayı kullanan bir sanal ağdaki yayımcılar, konu veya etki alanı için ortak uç noktaya bağlanan istemcilerle aynı bağlantı dizesi kullanmalıdır. Etki Alanı Adı Sistemi (DNS) çözümlemesi, bağlantıları sanal ağdan konu veya etki alanına özel bir bağlantı üzerinden otomatik olarak yönlendirir. Event Grid, varsayılan olarak özel uç noktalar için gerekli güncelleştirmeyle sanal ağa bağlı bir özel DNS bölgesi oluşturur. Ancak, kendi DNS sunucunuzu kullanıyorsanız DNS yapılandırmanızda daha fazla değişiklik yapmanız gerekebilir.

Özel uç noktalar için DNS değişiklikleri

Özel uç nokta oluşturduğunuzda, kaynağın DNS CNAME kaydı ön ekine privatelinksahip bir alt etki alanında bir diğer ad olarak güncelleştirilir. Varsayılan olarak, özel bağlantının alt etki alanına karşılık gelen bir özel DNS bölgesi oluşturulur.

Özel uç nokta ile sanal ağın dışından konu veya etki alanı uç noktası URL'sini çözümlediğinizde, hizmet genel uç noktasına çözümür. Özel uç noktayı barındıran sanal ağın dışından çözümlendiğinde 'topicA' için DNS kaynak kayıtları şunlardır:

Adı Tür Değer
topicA.westus.eventgrid.azure.net CNAME topicA.westus.privatelink.eventgrid.azure.net
topicA.westus.privatelink.eventgrid.azure.net CNAME <Azure Traffic Manager profili>

IP güvenlik duvarını kullanarak genel uç nokta üzerinden sanal ağ dışındaki bir istemcinin erişimini reddedebilir veya denetleyebilirsiniz.

Özel uç noktayı barındıran sanal ağdan çözümlendiğinde, konu veya etki alanı uç noktası URL'si özel uç noktanın IP adresine çözümlenir. Özel uç noktayı barındıran sanal ağın içinden çözümlendiğinde 'topicA' konusunun DNS kaynak kayıtları şunlardır:

Adı Tür Değer
topicA.westus.eventgrid.azure.net CNAME topicA.westus.privatelink.eventgrid.azure.net
topicA.westus.privatelink.eventgrid.azure.net A 10.0.0.5

Bu yaklaşım, özel uç noktaları barındıran sanal ağdaki istemciler ve sanal ağ dışındaki istemciler için aynı bağlantı dizesi kullanarak konuya veya etki alanına erişim sağlar.

Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemciler konu veya etki alanı uç noktası için tam etki alanı adını (FQDN) özel uç nokta IP adresine çözümleyebilir. DNS sunucunuzu, özel bağlantı alt etki alanınızı sanal ağ için özel DNS bölgesine temsilci olarak atayacak şekilde yapılandırın veya A kayıtlarını topicOrDomainName.regionName.privatelink.eventgrid.azure.net özel uç nokta IP adresiyle yapılandırın.

Önerilen DNS bölgesi adıdır privatelink.eventgrid.azure.net.

Özel uç noktalar ve yayımlama

Aşağıdaki tabloda, özel uç nokta bağlantısının çeşitli durumları ve yayımlama üzerindeki etkileri açıklanmaktadır:

Bağlan Ion Durumu Başarıyla yayımlama (Evet/Hayır)
Onaylandı Yes
Reddedildi Hayır
Beklemede Hayır
Bağlantı kesildi Hayır

Yayımlamanın başarılı olması için özel uç nokta bağlantı durumunun onaylanması gerekir. Bağlantı reddedilirse, Azure portalı kullanılarak onaylanamaz. Tek olasılık, bağlantıyı silmek ve bunun yerine yeni bir bağlantı oluşturmaktır.

Kotalar ve sınırlar

Konu veya etki alanı başına IP güvenlik duvarı kurallarının ve özel uç nokta bağlantılarının sayısında bir sınır vardır. Bkz. Event Grid kotaları ve sınırları.

Sonraki adımlar

Event Grid kaynağınız için IP güvenlik duvarını yapılandırarak yalnızca belirli bir IP Adresleri veya IP Adresi aralıkları kümesinden genel İnternet üzerinden erişimi kısıtlayabilirsiniz. Adım adım yönergeler için bkz . IP güvenlik duvarını yapılandırma.

Özel uç noktaları yalnızca seçili sanal ağlardan erişimi kısıtlayan şekilde yapılandırabilirsiniz. Adım adım yönergeler için bkz . Özel uç noktaları yapılandırma.

Ağ bağlantısı sorunlarını gidermek için bkz . Ağ bağlantısı sorunlarını giderme.