Özel uç noktalar aracılığıyla Azure Service Bus ad alanlarına erişime izin verme

  • Makale

Azure Özel Bağlantı Hizmeti, sanal ağınızdaki özel bir uç nokta üzerinden Azure hizmetlerine (örneğin Azure Service Bus, Azure Depolama ve Azure Cosmos DB) ve Azure tarafından barındırılan müşteri/iş ortağı hizmetlerine erişmenizi sağlar.

Bir özel uç nokta, sizi Azure Özel Bağlantı ile desteklenen bir hizmete özel olarak ve güvenle bağlayan bir ağ arabirimidir. Özel uç nokta, sanal ağınızdan bir özel IP adresi kullanarak hizmeti etkili bir şekilde sanal ağınıza getirir. Hizmete giden tüm trafik özel uç nokta üzerinden yönlendirilebilir, bu nedenle ağ geçitleri, NAT cihazları, ExpressRoute veya VPN bağlantıları veya genel IP adresleri gerekmez. Sanal ağınız ve hizmet arasındaki trafik, Microsoft omurga ağı üzerinden geçer ve genel İnternet’ten etkilenme olasılığı ortadan kaldırılır. Bir Azure kaynağının örneğine bağlanarak erişim denetiminde en yüksek ayrıntı düzeyini sağlayabilirsiniz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı nedir?

Önemli noktalar

  • Bu özellik, Azure Service Bus'ın premium katmanında desteklenir. Premium katman hakkında daha fazla bilgi için Service Bus Premium ve Standart mesajlaşma katmanları makalesine bakın.

  • Özel uç noktaların uygulanması, diğer Azure hizmetlerinin Service Bus ile etkileşime girmesini engelleyebilir. Özel durum olarak, özel uç noktalar etkinleştirildiğinde bile belirli güvenilen hizmetlerden Service Bus kaynaklarına erişime izin vekleyebilirsiniz. Güvenilen hizmetlerin listesi için bkz . Güvenilen hizmetler.

    Aşağıdaki Microsoft hizmetleri bir sanal ağda olması gerekir

    • Azure App Service
    • Azure İşlevleri

  • Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağından gelen trafiğe izin vermek için en az bir IP kuralı veya sanal ağ kuralı belirtin. IP ve sanal ağ kuralı yoksa, ad alanına genel İnternet üzerinden (erişim anahtarı kullanılarak) erişilebilir.

Azure portalını kullanarak özel uç nokta ekleme

Önkoşullar

Service Bus ad alanını Azure Özel Bağlantı ile tümleştirmek için aşağıdaki varlıklara veya izinlere ihtiyacınız vardır:

  • Service Bus ad alanı.
  • Bir Azure sanal ağı.
  • Sanal ağdaki bir alt ağ. Varsayılan alt ağı kullanabilirsiniz.
  • Hem Service Bus ad alanı hem de sanal ağ için sahip veya katkıda bulunan izinleri.

Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Portalı kullanarak özel uç nokta için bir bölge seçtiğinizde, yalnızca bu bölgedeki sanal ağlar otomatik olarak filtrelenir. Service Bus ad alanınız farklı bir bölgede olabilir. Ayrıca, özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.

Ad alanı oluştururken özel erişimi yapılandırma

Ad alanı oluştururken, ad alanına yalnızca genel (tüm ağlardan) veya yalnızca özel (yalnızca özel uç noktalar aracılığıyla) erişimine izin vekleyebilirsiniz.

Ad alanı oluşturma sihirbazının sayfasında Özel erişim seçeneğini belirtirseniz , + Özel uç nokta düğmesini seçerek sayfaya özel bir uç nokta ekleyebilirsiniz. Özel uç nokta eklemeye yönelik ayrıntılı adımlar için sonraki bölüme bakın.

Özel erişim seçeneğinin seçili olduğu Ad alanı oluştur sihirbazının Ağ sayfasını gösteren ekran görüntüsü.

Mevcut bir ad alanı için özel erişimi yapılandırma

Zaten bir ad alanınız varsa, aşağıdaki adımları izleyerek özel bir uç nokta oluşturabilirsiniz:

  1. Azure Portal’ında oturum açın.

  2. Arama çubuğuna Service Bus yazın.

  3. Özel uç nokta eklemek istediğiniz listeden ad alanını seçin.

  4. Soldaki menüde Ayarlar'ın altında seçeneği'ni seçin.

    Not

    Yalnızca premium ad alanları için sekmesini görürsünüz.

  5. Ad alanına yalnızca özel uç noktalar aracılığıyla erişilmesi için Ağ sayfasında Genel ağ erişimi için Devre Dışı'nı seçin.

  6. Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver için, güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin vermek istiyorsanız Evet'i seçin.

    Genel ağ erişiminin Devre Dışı olarak gösterildiği Ağ sayfasının ekran görüntüsü.

  7. Özel uç noktalar aracılığıyla ad alanına erişime izin vermek için sayfanın üst kısmındaki Özel uç nokta bağlantıları sekmesini seçin

  8. Sayfanın üst kısmındaki + Özel Uç Nokta düğmesini seçin.

    Özel uç nokta ekle düğmesi

  9. Temel Bilgiler sayfasında şu adımları izleyin:

    1. Özel uç noktayı oluşturmak istediğiniz Azure aboneliğini seçin.

    2. Özel uç nokta kaynağı için kaynak grubunu seçin.

    3. Özel uç nokta için bir ad girin.

    4. Ağ arabirimi için bir ad girin.

    5. Özel uç nokta için bir bölge seçin. Özel uç noktanız sanal ağınızla aynı bölgede olmalıdır, ancak bağlandığınız özel bağlantı kaynağından farklı bir bölgede olabilir.

    6. Sayfanın alt kısmındaki İleri: Kaynak > düğmesini seçin.

      Özel uç nokta oluşturma sihirbazının Temel bilgiler sayfasını gösteren ekran görüntüsü.

  10. Kaynak sayfasında, ayarları gözden geçirin ve sayfanın en altındaki İleri: Sanal Ağ'i seçin.

    Özel uç nokta oluşturma sihirbazının Kaynak sayfasını gösteren ekran görüntüsü.

  11. Sanal Ağ sayfasında, özel uç noktayı dağıtmak istediğiniz sanal ağdaki alt ağı seçersiniz.

    1. Bir sanal ağ seçin. Açılan listede yalnızca seçili abonelik ve konumdaki sanal ağlar listelenir.
    2. Seçtiğiniz sanal ağda bir alt ağ seçin.
    3. Özel uç noktalar için ağ ilkesinin devre dışı bırakıldığına dikkat edin. Etkinleştirmek istiyorsanız Düzenle'yi seçin, ayarı güncelleştirin ve Kaydet'i seçin.
    4. Özel IP yapılandırması için, varsayılan olarak IP adresini dinamik olarak ayır seçeneği seçilidir. Statik IP adresi atamak istiyorsanız, Statik OLARAK IP adresi ayır* seçeneğini belirleyin.
    5. Uygulama güvenlik grubu için mevcut bir uygulama güvenlik grubunu seçin veya özel uç noktayla ilişkilendirilecek bir güvenlik grubu oluşturun.
    6. Sayfanın en altındaki İleri: DNS > düğmesi'ni seçin.

    Özel uç nokta oluşturma sihirbazının Sanal Ağ sayfasını gösteren ekran görüntüsü.

  12. DNS sayfasında, özel uç noktanın bir özel DNS bölgesiyle tümleştirilmesini isteyip istemediğinizi seçin ve ardından İleri: Etiketler'i seçin.

    Özel uç nokta oluşturma sihirbazının DNS sayfasını gösteren ekran görüntüsü.

  13. Etiketler sayfasında, özel uç nokta kaynağıyla ilişkilendirmek istediğiniz etiketleri (adlar ve değerler) oluşturun. Ardından, sayfanın alt kısmındaki Gözden geçir + oluştur düğmesini seçin.

  14. Gözden geçir + oluştur bölümünde tüm ayarları gözden geçirin ve Oluştur'u seçerek özel uç noktayı oluşturun.

    Özel uç nokta oluşturma sihirbazının Gözden Geçir ve Oluştur sayfasını gösteren ekran görüntüsü.

  15. Özel uç noktanın oluşturulduğunu onaylayın. Kaynağın sahibiyseniz ve Bağlantı yöntemi için Dizinimdeki bir Azure kaynağına bağlan seçeneğini belirlediyseniz uç nokta bağlantısı otomatik olarak onaylanmalıdır. Bekleme durumundaysa Azure portalını kullanarak özel uç noktaları yönetme bölümüne bakın.

    Özel uç nokta oluşturuldu

Güvenilen Microsoft hizmetleri

Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver ayarını etkinleştirdiğinizde, aşağıdaki hizmetlere Service Bus kaynaklarınıza erişim verilir.

Güvenilen hizmet Desteklenen kullanım senaryoları
Azure Event Grid Azure Event Grid'in Service Bus ad alanınızdaki kuyruklara veya konulara olay göndermesine izin verir. Aşağıdaki adımları da uygulamanız gerekir:
  • Bir konu veya etki alanı için sistem tarafından atanan kimliği etkinleştirme
  • Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleme
  • Ardından, sistem tarafından atanan kimliği kullanmak için uç nokta olarak Service Bus kuyruğu veya konu başlığı kullanan olay aboneliğini yapılandırın.

Daha fazla bilgi için bkz . Yönetilen kimlikle olay teslimi
Azure Stream Analytics Azure Stream Analytics işinin Service Bus kuyruklarına konu başlıklarına veri çıkışı yapmasına izin verir.

Önemli: Stream Analytics işi, Service Bus ad alanına erişmek için yönetilen kimlik kullanacak şekilde yapılandırılmalıdır. Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin.

Azure IoT Hub Bir IoT hub'ına Service Bus ad alanınızdaki kuyruklara veya konulara ileti gönderme izni verir. Aşağıdaki adımları da uygulamanız gerekir:
Azure API Management

API Management hizmeti, Service Bus Ad Alanınızdaki bir Service Bus kuyruğuna/konusuna ileti göndermenize olanak tanır.
Azure IoT Central

IoT Central'ın Service Bus ad alanınızdaki Service Bus kuyruklarına veya konu başlıklarına veri aktarmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir:

  • IoT Central uygulamanız için sistem tarafından atanan kimliği etkinleştirme
  • Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin.
  • Ardından IoT Central uygulamanızdaki Service Bus dışarı aktarma hedefini kimlik tabanlı kimlik doğrulamasını kullanacak şekilde yapılandırın.
Azure Digital Twins Azure Digital Twins'in Service Bus ad alanınızdaki Service Bus konularına veri çıkışı yapmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir:

  • Azure Digital Twins örneğiniz için sistem tarafından atanan kimliği etkinleştirin.
  • Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin.
  • Ardından, kimlik doğrulaması için sistem tarafından atanan kimliği kullanan bir Azure Digital Twins uç noktası veya Azure Digital Twins veri geçmişi bağlantısı yapılandırın. Azure Digital Twins'den Service Bus kaynaklarına uç noktaları ve olay yollarını yapılandırma hakkında daha fazla bilgi için bkz . Azure Digital Twins olaylarını yönlendirme ve Azure Digital Twins'de uç noktalar oluşturma.
Azure İzleyici (Tanılama Ayarları ve Eylem Grupları) Azure İzleyici'nin Service Bus ad alanınızdaki Service Bus'a tanılama bilgileri ve uyarı bildirimleri göndermesine izin verir. Azure İzleyici, Service Bus ad alanından veri okuyabilir ve bu ad alanına veri yazabilir.
Azure Synapse Azure Synapse'in Synapse Çalışma Alanı Yönetilen Kimliği'ni kullanarak service bus'a bağlanmasına izin verir. Azure Service Bus Veri Göndereni, Alıcı veya Sahip rolünü Service Bus ad alanında kimliğe ekleyin.

Azure Service Bus için diğer güvenilir hizmetler aşağıda bulunabilir:

  • Azure Veri Gezgini
  • Azure Sağlık Verisi Hizmetleri
  • Azure Arc
  • Azure Kubernetes
  • Azure Machine Learning
  • Microsoft Purview
  • Bulut için Microsoft Defender
  • Azure Sağlayıcı Merkezi

Güvenilen hizmetlerin ad alanınıza erişmesine izin vermek için Ağ sayfasındaki Genel Erişim sekmesine geçin ve Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver? için Evet'i seçin.

PowerShell kullanarak özel uç nokta ekleme

Aşağıdaki örnekte, Service Bus ad alanına özel uç nokta bağlantısı oluşturmak için Azure PowerShell'in nasıl kullanılacağı gösterilmektedir.

Özel uç noktanız ve sanal ağınız aynı bölgede olmalıdır. Service Bus ad alanınız farklı bir bölgede olabilir. Ayrıca, özel uç noktanız sanal ağınızda özel bir IP adresi kullanır.


$rgName = "<RESOURCE GROUP NAME>"
$vnetlocation = "<VNET LOCATION>"
$vnetName = "<VIRTUAL NETWORK NAME>"
$subnetName = "<SUBNET NAME>"
$namespaceLocation = "<NAMESPACE LOCATION>"
$namespaceName = "<NAMESPACE NAME>"
$peConnectionName = "<PRIVATE ENDPOINT CONNECTION NAME>"

# create resource group
New-AzResourceGroup -Name $rgName -Location $vnetLocation 

# create virtual network
$virtualNetwork = New-AzVirtualNetwork `
                    -ResourceGroupName $rgName `
                    -Location $vnetlocation `
                    -Name $vnetName `
                    -AddressPrefix 10.0.0.0/16

# create subnet with endpoint network policy disabled
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
                    -Name $subnetName `
                    -AddressPrefix 10.0.0.0/24 `
                    -PrivateEndpointNetworkPoliciesFlag "Disabled" `
                    -VirtualNetwork $virtualNetwork

# update virtual network
$virtualNetwork | Set-AzVirtualNetwork

# create premium service bus namespace
$namespaceResource = New-AzResource -Location $namespaceLocation -ResourceName $namespaceName -ResourceGroupName $rgName -Sku @{name = "Premium"; capacity = 1} -Properties @{} -ResourceType "Microsoft.ServiceBus/namespaces" -

# create a private link service connection
$privateEndpointConnection = New-AzPrivateLinkServiceConnection `
                                -Name $peConnectionName `
                                -PrivateLinkServiceId $namespaceResource.ResourceId `
                                -GroupId "namespace"

# get subnet object that you will use in the next step                                
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $rgName -Name $vnetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets `
                                | Where-Object  {$_.Name -eq $subnetName}  
   
# now, create private endpoint   
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $rgName  `
                                -Name $vnetName   `
                                -Location $vnetlocation `
                                -Subnet  $subnet   `
                                -PrivateLinkServiceConnection $privateEndpointConnection

(Get-AzResource -ResourceId $namespaceResource.ResourceId -ExpandProperties).Properties

Azure portalını kullanarak özel uç noktaları yönetme

Özel uç nokta oluşturduğunuzda bağlantının onaylanması gerekir. Özel uç nokta oluşturduğunuz kaynak dizininizdeyse, yeterli izinlere sahip olmanız koşuluyla bağlantı isteğini onaylayabilirsiniz. Başka bir dizindeki bir Azure kaynağına bağlanıyorsanız, bu kaynağın sahibinin bağlantı isteğinizi onaylamasını beklemeniz gerekir.

Dört sağlama durumu vardır:

Hizmet eylemi Hizmet tüketicisi özel uç nokta durumu Açıklama
Hiçbiri Beklemede Bağlantı el ile oluşturulur ve Özel Bağlantı kaynak sahibinden onay bekliyor.
Onayla Onaylandı Bağlantı otomatik olarak veya el ile onaylandı ve kullanılmaya hazır.
Reddet Reddedildi Bağlantı, özel bağlantı kaynağı sahibi tarafından reddedildi.
Kaldır Bağlantı kesildi Bağlantı özel bağlantı kaynağı sahibi tarafından kaldırıldı, özel uç nokta bilgilendirici hale geldi ve temizleme için silinmelidir.

Özel uç nokta bağlantısını onaylama, reddetme veya kaldırma

  1. Azure Portal’ında oturum açın.
  2. Arama çubuğuna Service Bus yazın.
  3. Yönetmek istediğiniz ad alanını seçin.
  4. sekmesini seçin.
  5. İstediğiniz işleme göre aşağıdaki uygun bölüme bakın: onaylama, reddetme veya kaldırma.

Özel uç nokta bağlantısını onaylama

  1. Bekleyen herhangi bir bağlantı varsa sağlama durumunda Beklemede olarak listelenen bir bağlantı görürsünüz.

  2. Onaylamak istediğiniz özel uç noktayı seçin

  3. Onayla düğmesini seçin.

    Özel uç noktayı onayla

  4. Bağlantıyı onayla sayfasında isteğe bağlı bir açıklama girin ve Evet'i seçin. Hayır'ı seçerseniz hiçbir şey olmaz.

    Bağlantı sayfasını onayla

  5. Listede bağlantının durumunun Onaylandı olarak değiştiğini görmeniz gerekir.

    Bağlantı durumu - onaylandı

Özel uç nokta bağlantısını reddetme

  1. Reddetmek istediğiniz özel uç nokta bağlantıları varsa ( bekleyen bir istek veya daha önce onaylanan mevcut bir bağlantı olsun), uç nokta bağlantısını seçin ve Reddet düğmesini seçin.

    Reddet düğmesi

  2. Bağlantıyı reddet sayfasında isteğe bağlı bir açıklama girin ve Evet'i seçin. Hayır'ı seçerseniz hiçbir şey olmaz.

    Bağlantı sayfasını reddet

  3. Listede bağlantının durumunun Reddedildi olarak değiştiğini görmeniz gerekir.

    Uç nokta reddedildi

Özel uç nokta bağlantısını kaldırma

  1. Özel uç nokta bağlantısını kaldırmak için listeden seçin ve araç çubuğunda Kaldır'ı seçin.

    Kaldır düğmesi

  2. Bağlantıyı sil sayfasında, özel uç noktanın silinmesini onaylamak için Evet'i seçin. Hayır'ı seçerseniz hiçbir şey olmaz.

    Bağlantı sayfasını silme

  3. Durumun Bağlantısı Kesildi olarak değiştirildiğini görmeniz gerekir. Ardından uç nokta listeden kaybolur.

Özel uç noktanın sanal ağındaki kaynakların özel bir IP adresi üzerinden Service Bus ad alanınıza bağlandığını ve doğru özel DNS bölgesi tümleştirmesine sahip olduklarını doğrulamanız gerekir.

İlk olarak, Azure portalında Windows sanal makinesi oluşturma adımlarını izleyerek bir sanal makine oluşturun

sekmesinde:

  1. Sanal ağ ve Alt ağ belirtin. Özel uç noktayı dağıtılan Sanal Ağ seçmeniz gerekir.
  2. Bir genel IP kaynağı belirtin.
  3. NIC ağ güvenlik grubu için Yok'a tıklayın.
  4. Yük dengeleme için Hayır'ı seçin.

VM'ye bağlanın, komut satırını açın ve aşağıdaki komutu çalıştırın:

nslookup <service-bus-namespace-name>.servicebus.windows.net

Aşağıdakine benzer bir sonuç görmeniz gerekir.

Non-authoritative answer:
Name:    <service-bus-namespace-name>.privatelink.servicebus.windows.net
Address:  10.0.0.4 (private IP address associated with the private endpoint)
Aliases:  <service-bus-namespace-name>.servicebus.windows.net

Sınırlamalar ve TasarımLa İlgili Dikkat Edilmesi Gerekenler

  • Fiyatlandırma bilgileri için bkz. fiyatlandırma Azure Özel Bağlantı.
  • Bu özellik tüm Azure genel bölgelerinde kullanılabilir.
  • Service Bus ad alanı başına en fazla özel uç nokta sayısı: 120.
  • Trafik, TCP katmanında değil uygulama katmanında engellenir. Bu nedenle, genel erişim devre dışı bırakılıyor olsa bile TCP bağlantılarının veya nslookup işlemlerinin genel uç noktada başarılı olduğunu görürsünüz.

Daha fazla bilgi için bkz. Azure Özel Bağlantı hizmeti: Sınırlamalar

Sonraki adımlar