Azure 服务总线 支持与 网络安全外围集成。
网络安全外围有助于保护 Azure 服务总线和其他平台即服务(PaaS)产品/服务(例如 Azure 密钥保管库)之间的网络流量。 通过将通信严格限制在其边界内的 Azure 资源之间,网络安全边界阻止了未经授权的尝试访问其他资源。
通过使用网络安全外围:
- 默认情况下,与特定外围关联的 PaaS 资源只能与同一外围中的其他 PaaS 资源通信。
- 可以通过设置显式访问规则来主动允许外部入站和出站通信。
- 为外围内的 PaaS 资源启用了诊断日志,以便进行审核和符合性。
在此框架中集成服务总线可增强消息传送功能,同时提供可靠的安全措施。 此集成可提高平台可伸缩性和可靠性。 它还加强了数据保护策略,以缓解与未经授权的访问或数据泄露相关的风险。
通过在 Azure 专用链接下作为服务运行,网络安全外围为部署在虚拟网络外部的 PaaS 服务提供安全通信。 它支持在外围内的 PaaS 服务之间无缝交互,并通过精心配置的访问规则促进与外部资源的通信。 它还支持客户托管密钥(CMK)等出站资源,例如 Azure 密钥保管库。 这种支持进一步增强了其在各种云环境中的多功能性和实用工具。
服务总线中的网络安全边界场景
Azure 服务总线支持需要访问其他 PaaS 资源的方案。 CMK 需要与 Azure 密钥保管库 通信。 有关详细信息,请参阅 配置客户管理的密钥,以加密Azure 服务总线 的静态数据。
对于旧的异地灾难恢复(基于别名的配对),主命名空间和辅助命名空间都必须与相同的网络安全外围相关联。 如果只有主数据库被关联,配对将失败。
网络安全边界规则不适用于通过专用终结点的专用链接流量。
创建网络安全外围
使用 Azure 门户、 Azure PowerShell 或 Azure CLI 创建自己的网络安全外围资源。
在 Azure 门户中将 服务总线 与网络安全边界相关联
可以直接从 Azure 门户中的服务总线命名空间将服务总线命名空间与网络安全外围相关联:
在服务总线命名空间的页面上,在 “设置”下,选择“ 网络”。
选择 “公共访问 ”选项卡。
在网络安全外围部分中,选择关联。
在 “选择网络安全外围 ”对话框中,搜索并选择要与命名空间关联的网络安全外围。
选择要与命名空间关联的配置文件。
选择 “关联” 以完成关联。
使用 Azure CLI 验证关联
验证命名空间是否与网络安全外围相关联:
az servicebus namespace network-rule-set show \
--name <namespace-name> \
--resource-group <resource-group>
当关联存在时,字段 publicNetworkAccess 将显示 SecuredByPerimeter。
故障排除
功能可用性
网络安全外围的某些功能要求在订阅上注册功能标志。 如果在配置访问规则或外围链接时遇到“此功能不适用于给定订阅”错误,请注册所需的功能标志并重新注册网络提供程序:
| 能力 | 功能标志 | 注册命令 |
|---|---|---|
| 跨外围链接 | AllowNspLink |
az feature register --namespace Microsoft.Network --name AllowNspLink |
| 服务标记入站规则 | EnableServiceTagsInNsp |
az feature register --namespace Microsoft.Network --name EnableServiceTagsInNsp |
注册后,传播更改:
az provider register -n Microsoft.Network
功能标志传播最多可能需要 15 分钟。
与网络安全外围的命名空间关联
创建传统地域灾难恢复配对时,主命名空间和辅助命名空间必须与同一网络安全边界相关联。 如果遇到“DisasterRecoveryConfigSecondaryMustHaveAssociationsUnderSameNSP”错误,请关联辅助命名空间与同一外围,然后重试配对。