可以使用专用终结点来支持事件通过专用链接安全地从虚拟网络直接流入事件网格命名空间,而无需通过公共 Internet。 专用终结点会将虚拟网络地址空间中的 IP 地址用于你的命名空间。 当专用网络上的 MQTT 客户端通过专用链接连接到 MQTT 代理时,客户端可以发布和订阅 MQTT 消息。 有关详细概念信息,请参阅网络安全。
本文介绍如何为事件网格命名空间启用专用网络访问。 有关创建命名空间的完整步骤,请参阅《创建和管理命名空间》。
创建专用终结点
登录到 Azure 门户。
在“搜索框”中,输入“事件网格命名空间”,然后在结果中选择“事件网格命名空间”。
在列表中选择事件网格命名空间,打开命名空间的“事件网格命名空间”页。
在“事件网格命名空间”页上,选择左侧菜单上的“网络”。
在“公用网络访问”选项卡中,如果希望只能通过专用终结点访问命名空间,请选择“仅限专用终结点”。
注意
禁用命名空间的公用网络访问将导致 MQTT 路由失败。
在工具栏上选择“保存”。
然后切换到“专用终结点连接”选项卡。
在“专用终结点连接”选项卡上,选择“+ 专用终结点”。
在“基本信息”页上执行以下步骤:
选择要在其中创建专用终结点的 Azure 订阅。
为专用终结点选择“Azure 资源组”。
为终结点输入名称。
如果需要,请更新网络接口的名称。
为终结点选择“区域”。 专用终结点必须与虚拟网络位于同一区域,但可以与专用链接资源(在本例中为事件网格命名空间)位于不同的区域。
然后,选择页面底部的“下一步: 资源 >”。
在“资源”页上执行以下步骤。
确认 Azure 订阅、资源类型和资源(即事件网格命名空间)外观正确
选择目标子资源。 例如:
topicspace。 仅当命名空间上启用了 MQTT 时,才会看到topicspace。选择页面底部的“下一步: 虚拟网络 >”按钮。
在“虚拟网络”页上,选择要在其中部署专用终结点的虚拟网络中的子网。
选择一个虚拟网络。 下拉列表中仅列出了当前所选订阅和位置中的虚拟网络。
在所选的虚拟网络中选择一个“子网”。
指定是要静态还是动态分配 IP 地址。
选择现有的应用程序安全组 或创建一个,然后与专用终结点关联。
选择页面底部的“下一步: DNS >”按钮。
在“DNS”页上,选择是否要将专用终结点与专用 DNS 区域集成,然后在页面底部选择“下一步:标记”。
在“标记”页上,创建要与专用终结点资源关联的任何标记(名称和值)。 然后选择页面底部的“查看 + 创建”按钮。
在“查看 + 创建”页上查看所有设置,然后选择“创建”以创建专用终结点 。
管理专用链接连接
创建专用终结点时,必须批准连接。 如果要为其创建专用终结点的资源位于你的目录中,在拥有足够权限的前提下,你可以批准连接请求。 如果要连接到另一个目录中的 Azure 资源,必须等待该资源的所有者批准你的连接请求。
有四种预配状态:
| 服务操作 | 服务使用者专用终结点状态 | 说明 |
|---|---|---|
| 无 | 挂起的 | 连接是手动创建的,正等待专用链接资源所有者批准。 |
| 审批 | 已批准 | 连接已自动或手动批准,随时可供使用。 |
| 拒绝 | 已拒绝 | 连接已被专用链接资源所有者拒绝。 |
| 删除 | 已断开连接 | 连接被专用链接资源所有者删除。 专用终结点已变为参考性终结点,应将其删除以清理资源。 |
以下部分说明了如何批准或拒绝专用终结点连接。
- 登录 Azure 门户。
- 在搜索栏中,键入“事件网格命名空间”,然后选择它以查看命名空间列表。
- 选择要管理的命名空间。
- 选择“网络”选项卡。
- 如果有任何挂起的连接,则会列出预配状态为“挂起”的连接。
批准专用终结点
可以批准处于挂起状态的专用终结点。 若要批准,请按照下列步骤进行操作:
- 选择要批准的“专用终结点”,然后在工具栏上选择“批准” 。
- 在“批准连接”对话框上,输入注释(可选),然后选择“是” 。
- 确认终结点的状态为“已批准”。
拒绝专用终结点
可以拒绝处于挂起状态或已批准状态的专用终结点。 若要拒绝,请按照下列步骤操作:
选择要拒绝的“专用终结点”,然后在工具栏上选择“拒绝” 。
在“拒绝连接”对话框上,输入注释(可选),然后选择“是” 。
确认终结点的状态为“已拒绝”。
注意
拒绝后,无法在 Azure 门户中批准该专用终结点。
删除专用终结点
要删除专用终结点,请执行以下步骤:
选择要删除的专用终结点,然后选择工具栏上的“移除”。
在“删除连接”对话框中,选择“是”以删除专用终结点。
后续步骤
要了解如何配置 IP 防火墙设置,请参阅《为 Azure 事件网格命名空间配置 IP 防火墙》。