Belirli IP adreslerinden veya aralıklardan Azure Service Bus ad alanına erişime izin ver
Varsayılan olarak, istek geçerli kimlik doğrulaması ve yetkilendirme içerdiği sürece Service Bus ad alanlarına İnternet'ten erişilebilir. IP güvenlik duvarıyla, gelen trafik bir dizi IPv4 adresi veya IPv4 adres aralığıyla (CIDR'de (Sınıfsız Etki Alanları Arası Yönlendirme) gösterimiyle kısıtlanabilir.
Bu özellik, Azure Service Bus'ın yalnızca belirli iyi bilinen sitelerden erişilebilir olması gereken senaryolarda yararlıdır. Güvenlik duvarı kuralları, belirli IPv4 adreslerinden kaynaklanan trafiği kabul etmek için kuralları yapılandırmanıza olanak tanır. Örneğin, Azure Express Route ile Service Bus kullanıyorsanız, yalnızca şirket içi altyapı IP adreslerinden veya kurumsal NAT ağ geçidinin adreslerinden gelen trafiğe izin veren bir güvenlik duvarı kuralı oluşturabilirsiniz.
IP güvenlik duvarı kuralları
IP güvenlik duvarı kuralları Service Bus ad alanı düzeyinde uygulanır. Bu nedenle, kurallar desteklenen herhangi bir protokol (AMQP (5671) ve HTTPS (443) kullanan istemcilerden gelen tüm bağlantılar için geçerlidir. Service Bus ad alanında izin verilen bir IP kuralıyla eşleşmeyen bir IP adresinden yapılan tüm bağlantı girişimleri yetkisiz olarak reddedilir. Yanıtta IP kuralından bahsedilmez. IP filtresi kuralları sırayla uygulanır ve IP adresiyle eşleşen ilk kural kabul etme veya reddetme eylemini belirler.
Önemli noktalar
Sanal Ağ yalnızca Service Bus'ın premium katmanında desteklenir. Premium katmana yükseltme seçeneği yoksa Azure Resource Manager şablonlarını, Azure CLI'yı, PowerShell'i veya REST API'yi kullanarak IP güvenlik duvarı kurallarını kullanmak mümkündür. Paylaşılan Erişim İmzası (SAS) belirtecini güvenli tutmanızı ve yalnızca yetkili kullanıcılarla paylaşmanızı öneririz. SAS kimlik doğrulaması hakkında bilgi için bkz . Kimlik doğrulaması ve yetkilendirme.
Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağından gelen trafiğe izin vermek için en az bir IP güvenlik duvarı kuralı veya sanal ağ kuralı belirtin. IP ve sanal ağ kuralı yoksa, ad alanına genel İnternet üzerinden (erişim anahtarı kullanılarak) erişilebilir.
Güvenlik duvarı kurallarının uygulanması, diğer Azure hizmetlerinin Service Bus ile etkileşim kurmasını engelleyebilir. Özel durum olarak, IP filtreleme etkinleştirildiğinde bile belirli güvenilen hizmetlerden Service Bus kaynaklarına erişime izin vekleyebilirsiniz. Güvenilen hizmetlerin listesi için bkz . Güvenilen hizmetler.
Aşağıdaki Microsoft hizmetleri bir sanal ağda olması gerekir
- Azure App Service
- Azure İşlevleri
Not
Yalnızca premium ad alanları için Ağ sekmesini görürsünüz. Diğer katmanlar için IP güvenlik duvarı kuralları ayarlamak için Azure Resource Manager şablonlarını, Azure CLI'yı, PowerShell'i veya REST API'yi kullanın.
Azure portalı kullanma
Ad alanı oluştururken, ad alanına yalnızca genel (tüm ağlardan) veya yalnızca özel (yalnızca özel uç noktalar aracılığıyla) erişimine izin vekleyebilirsiniz. Ad alanı oluşturulduktan sonra, belirli IP adreslerinden veya belirli sanal ağlardan (ağ hizmet uç noktalarını kullanarak) erişime izin vekleyebilirsiniz.
Ad alanı oluştururken genel erişimi yapılandırma
Genel erişimi etkinleştirmek için ad alanı oluşturma sihirbazının Ağ sayfasında Genel erişim'i seçin.
Ad alanını oluşturduktan sonra Service Bus Ad Alanı sayfasının sol menüsünde Ağ'ı seçin. Tüm Ağlar seçeneğinin belirlendiğini görürsünüz. Seçili Ağlar seçeneğini belirleyebilir ve belirli IP adreslerinden veya belirli sanal ağlardan erişime izin vekleyebilirsiniz. Sonraki bölümde, erişime izin verilen IP adreslerini belirtmek için IP güvenlik duvarını yapılandırmaya ilişkin ayrıntılar sağlanır.
Mevcut bir ad alanı için IP güvenlik duvarını yapılandırma
Bu bölümde, Service Bus ad alanı için IP güvenlik duvarı kuralları oluşturmak üzere Azure portalını nasıl kullanacağınız gösterilmektedir.
Soldaki menüde Ayarlar'ın altında Ağ seçeneği'ni seçin.
Not
Yalnızca premium ad alanları için Ağ sekmesini görürsünüz.
Ağ sayfasında, Genel ağ erişimi için aşağıdaki üç seçenekten birini ayarlayabilirsiniz. Yalnızca belirtilen IP adreslerinden erişime izin vermek için Seçili ağlar seçeneğini belirleyin.
Devre dışı. Bu seçenek, ad alanına genel erişimi devre dışı bırakır. Ad alanına yalnızca özel uç noktalar üzerinden erişilebilir.
Güvenilen Microsoft hizmetleri güvenlik duvarını atlamasına izin vermek isteyip istemediğinizi seçin. Azure Service Bus için güvenilen Microsoft hizmetleri listesi için Güvenilen Microsoft hizmetleri bölümüne bakın.
Seçili ağlar. Bu seçenek, seçili ağlardan bir erişim anahtarı kullanarak ad alanına genel erişim sağlar.
Önemli
Seçili ağlar'ı seçerseniz, ad alanına erişimi olacak en az bir IP güvenlik duvarı kuralı veya sanal ağ ekleyin. Yalnızca özel uç noktalar üzerinden bu ad alanına gelen tüm trafiği kısıtlamak istiyorsanız Devre Dışı'nı seçin.
Tüm ağlar (varsayılan). Bu seçenek, erişim anahtarı kullanarak tüm ağlardan genel erişimi etkinleştirir. Tüm ağlar seçeneğini belirtirseniz, Service Bus herhangi bir IP adresinden (erişim anahtarını kullanarak) bağlantıları kabul eder. Bu ayar, 0.0.0.0/0 IP adres aralığını kabul eden bir kurala eşdeğerdir.
Yalnızca belirtilen IP adresinden erişime izin vermek için Seçili ağlar seçeneği seçili değilse seçeneğini belirleyin. Güvenlik Duvarı bölümünde şu adımları izleyin:
Geçerli istemci IP'nize ad alanına erişim vermek için İstemci IP adresinizi ekle seçeneğini belirleyin.
Adres aralığı için, CIDR gösteriminde belirli bir IPv4 adresi veya IPv4 adresi aralığı girin.
Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin vermek isteyip istemediğinizi belirtin. Azure Service Bus için güvenilen Microsoft hizmetleri listesi için Güvenilen Microsoft hizmetleri bölümüne bakın.
Uyarı
Seçili ağlar seçeneğini belirtirseniz ve bu sayfaya en az bir IP güvenlik duvarı kuralı veya sanal ağ eklemezseniz, ad alanına genel İnternet üzerinden (erişim anahtarı kullanılarak) erişilebilir.
Ayarları kaydetmek için araç çubuğunda Kaydet'i seçin. Onayın portal bildirimlerinde gösterilmesi için birkaç dakika bekleyin.
Not
Belirli sanal ağlara erişimi kısıtlamak için bkz . Belirli ağlardan erişime izin verme.
Güvenilen Microsoft hizmetleri
Güvenilen Microsoft hizmetleri bu güvenlik duvarını atlamasına izin ver ayarını etkinleştirdiğinizde, aşağıdaki hizmetlere Service Bus kaynaklarınıza erişim verilir.
| Güvenilen hizmet | Desteklenen kullanım senaryoları |
|---|---|
| Azure Event Grid | Azure Event Grid'in Service Bus ad alanınızdaki kuyruklara veya konulara olay göndermesine izin verir. Aşağıdaki adımları da uygulamanız gerekir:
Daha fazla bilgi için bkz . Yönetilen kimlikle olay teslimi |
| Azure Stream Analytics | Azure Stream Analytics işinin Service Bus kuyruklarına konu başlıklarına veri çıkışı yapmasına izin verir. Önemli: Stream Analytics işi, Service Bus ad alanına erişmek için yönetilen kimlik kullanacak şekilde yapılandırılmalıdır. Kimliği Service Bus ad alanında Azure Service Bus Veri Gönderen rolüne ekleyin. |
| Azure IoT Hub | Bir IoT hub'ına Service Bus ad alanınızdaki kuyruklara veya konulara ileti gönderme izni verir. Aşağıdaki adımları da uygulamanız gerekir:
|
| Azure API Management | API Management hizmeti, Service Bus Ad Alanınızdaki bir Service Bus kuyruğuna/konusuna ileti göndermenize olanak tanır.
|
| Azure IoT Central | IoT Central'ın Service Bus ad alanınızdaki Service Bus kuyruklarına veya konu başlıklarına veri aktarmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir:
|
| Azure Digital Twins | Azure Digital Twins'in Service Bus ad alanınızdaki Service Bus konularına veri çıkışı yapmasına izin verir. Aşağıdaki adımları da uygulamanız gerekir:
|
| Azure İzleyici (Tanılama Ayarları ve Eylem Grupları) | Azure İzleyici'nin Service Bus ad alanınızdaki Service Bus'a tanılama bilgileri ve uyarı bildirimleri göndermesine izin verir. Azure İzleyici, Service Bus ad alanından veri okuyabilir ve bu ad alanına veri yazabilir. |
| Azure Synapse | Azure Synapse'in Synapse Çalışma Alanı Yönetilen Kimliği'ni kullanarak service bus'a bağlanmasına izin verir. Azure Service Bus Veri Göndereni, Alıcı veya Sahip rolünü Service Bus ad alanında kimliğe ekleyin. |
Azure Service Bus için diğer güvenilir hizmetler aşağıda bulunabilir:
- Azure Veri Gezgini
- Azure Sağlık Verisi Hizmetleri
- Azure Arc
- Azure Kubernetes
- Azure Machine Learning
- Microsoft Purview
- Bulut için Microsoft Defender
- Azure Sağlayıcı Merkezi
Resource Manager şablonu kullanma
Bu bölümde, var olan bir Service Bus ad alanına sanal ağ ve güvenlik duvarı kuralı ekleyen örnek bir Azure Resource Manager şablonu vardır.
ipMask , CIDR gösteriminde tek bir IPv4 adresi veya IP adresleri bloğudur. Örneğin, CIDR gösteriminde 70.37.104.0/24, 70.37.104.0 ile 70.37.104.255 arasında 256 IPv4 adresini temsil eder ve aralık için önemli ön ek bitlerinin sayısını belirten 24'tür.
Not
öğesinin defaultAction varsayılan değeridir Allow. Sanal ağ veya güvenlik duvarları kuralları eklerken olarak ayarladığınızdan defaultAction Denyemin olun.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"namespace_name": {
"defaultValue": "mypremiumnamespace",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.ServiceBus/namespaces",
"apiVersion": "2022-10-01-preview",
"name": "[parameters('namespace_name')]",
"location": "East US",
"sku": {
"name": "Premium",
"tier": "Premium",
"capacity": 1
},
"properties": {
"premiumMessagingPartitions": 1,
"minimumTlsVersion": "1.2",
"publicNetworkAccess": "Enabled",
"disableLocalAuth": false,
"zoneRedundant": true
}
},
{
"type": "Microsoft.ServiceBus/namespaces/networkRuleSets",
"apiVersion": "2022-10-01-preview",
"name": "[concat(parameters('namespace_name'), '/default')]",
"location": "East US",
"dependsOn": [
"[resourceId('Microsoft.ServiceBus/namespaces', parameters('namespace_name'))]"
],
"properties": {
"publicNetworkAccess": "Enabled",
"defaultAction": "Deny",
"virtualNetworkRules": [],
"ipRules": [
{
"ipMask": "10.1.1.1",
"action": "Allow"
},
{
"ipMask": "11.0.0.0/24",
"action": "Allow"
}
]
}
}
]
}
Şablonu dağıtmak için Azure Resource Manager yönergelerini izleyin.
Önemli
IP ve sanal ağ kuralı yoksa, olarak ayarlasanız defaultAction denybile tüm trafik ad alanına akar. Ad alanına genel İnternet üzerinden erişilebilir (erişim anahtarı kullanılarak). Ad alanı için yalnızca belirtilen IP adreslerinden veya bir sanal ağın alt ağından gelen trafiğe izin vermek için en az bir IP kuralı veya sanal ağ kuralı belirtin.
Azure CLI kullanma
Service Bus ad alanının IP güvenlik duvarı kurallarını yönetmek için ekleme, listeleme, güncelleştirme ve kaldırma komutlarını kullanın az servicebus namespace network-rule-set .
Azure PowerShell kullanma
IP güvenlik duvarı kurallarını eklemek, listelemek, kaldırmak, güncelleştirmek ve silmek için aşağıdaki Azure PowerShell komutlarını kullanın.
New-AzServiceBusIPRuleConfigveSet-AzServiceBusNetworkRuleSetbirlikte bir IP güvenlik duvarı kuralı ekleyin.
Varsayılan eylem ve genel ağ erişimi
REST API
Özelliğin defaultAction Deny varsayılan değeri API sürüm 2021-01-01-preview ve önceki sürümler içindir. Ancak, IP filtrelerini veya sanal ağ kurallarını ayarlamadığınız sürece reddetme kuralı zorlanmaz. Başka bir ifadeyle, herhangi bir IP filtreniz veya sanal ağ kuralınız yoksa Service Bus bunu olarak Allowdeğerlendirir.
API 2021-06-01-preview sürümünden itibaren özelliğin defaultAction varsayılan değeri, hizmet tarafı zorlamasını doğru bir şekilde yansıtmak için şeklindedirAllow. Varsayılan eylem olarak ayarlanırsa Deny, IP filtreleri ve sanal ağ kuralları zorlanır. Varsayılan eylem olarak ayarlanırsa Allow, IP filtreleri ve sanal ağ kuralları uygulanmaz. Hizmet, kuralları kapattığınızda ve yeniden açtığınızda hatırlar.
API sürüm 2021-06-01-preview da adlı publicNetworkAccessyeni bir özellik kullanıma sunulmuştur. bunu olarak Disabledayarlarsanız, işlemler yalnızca özel bağlantılara kısıtlanır. olarak Enabledayarlarsanız, genel İnternet üzerinden işlemlere izin verilir.
Bu özellikler hakkında daha fazla bilgi için Özel Uç Nokta Bağlantıları Oluştur veya Güncelleştir'i seçin.
Not
Yukarıdaki ayarların hiçbiri SAS veya Microsoft Entra kimlik doğrulaması yoluyla talepleri doğrulamayı atlaamaz. Kimlik doğrulama denetimi, hizmet , publicNetworkAccess, privateEndpointConnections ayarları tarafından defaultActionyapılandırılan ağ denetimlerini doğruladıktan sonra her zaman çalışır.
Azure portal
Azure portalı, özellikleri almak ve ayarlamak için her zaman en son API sürümünü kullanır. Ad alanınızı daha önce 2021-01-01-preview ve daha önceki sürümleri ile defaultAction olarak ayarlamış Denyve sıfır IP filtresi ve sanal ağ kuralları belirtmişseniz, portal daha önce ad alanınızın Ağ sayfasında Seçili Ağlar'ı işaretlemişti. Şimdi Tüm ağlar seçeneğini denetler.
İlgili içerik
Azure sanal ağlarına Service Bus erişimini kısıtlamak için aşağıdaki bağlantıya bakın: