Kurz: Omezení síťového přístupu k prostředkům PaaS s využitím koncových bodů služby pro virtuální síť pomocí webu Azure Portal
Koncové body služby pro virtuální síť umožňují omezení síťového přístupu k prostředkům některých služeb Azure na podsíť virtuální sítě. Můžete také odebrat internetový přístup k prostředkům. Koncové body služeb poskytují přímé připojení z vaší virtuální sítě k podporovaným službám Azure a umožňují pro přístup ke službám Azure použít privátní adresní prostor virtuální sítě. Provoz směřující do prostředků Azure prostřednictvím koncových bodů služby zůstává vždy v páteřní síti Microsoft Azure.
V tomto kurzu se naučíte:
- Vytvoření virtuální sítě s jednou podsítí
- Přidání podsítě a povolení koncového bodu služby
- Vytvoření prostředku Azure a povolení síťového přístupu k tomuto prostředku pouze z podsítě
- Nasazení virtuálního počítače do každé podsítě
- Ověření přístupu k prostředku z podsítě
- Ověření odepření přístupu k prostředku z podsítě a internetu
V tomto kurzu se používá Azure Portal. Můžete ho také dokončit pomocí Azure CLI nebo PowerShellu.
Požadavky
- Účet Azure s aktivním předplatným. Vytvořte si ho zdarma.
Přihlášení k Azure
Přihlaste se k portálu Azure.
Vytvoření virtuální sítě a hostitele služby Azure Bastion
Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Služby Azure Bastion a hostitelem Bastionu:
Na portálu vyhledejte a vyberte Virtuální sítě.
Na stránce Virtuální sítě vyberte + Vytvořit.
Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu. Jako název zadejte test-rg . Vyberte OK. Podrobnosti o instanci Název Zadejte vnet-1. Oblast Vyberte USA – východ 2. Výběrem možnosti Další přejděte na kartu Zabezpečení .
V části Azure Bastion vyberte Povolit Bastion.
Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace najdete v tématu Co je Azure Bastion?.
Poznámka:
Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.
V Azure Bastionu zadejte nebo vyberte následující informace:
Nastavení Hodnota Název hostitele služby Azure Bastion Zadejte bastion. Veřejná IP adresa služby Azure Bastion Vyberte Vytvořit veřejnou IP adresu. Do názvu zadejte public-ip-bastion . Vyberte OK. Výběrem možnosti Další přejděte na kartu IP adresy.
V poli Adresní prostor v podsítích vyberte výchozí podsíť.
V části Upravit podsíť zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti o podsíti Šablona podsítě Ponechte výchozí hodnotu Výchozí. Název Zadejte podsíť-1. Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0. Velikost podsítě Ponechte výchozí hodnotu /24 (256 adres). Zvolte Uložit.
V dolní části okna vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.
Povolení koncového bodu služby
Koncové body služby se povolují pro každou službu a podsíť.
Do vyhledávacího pole v horní části stránky portálu vyhledejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .
Ve virtuálních sítích vyberte vnet-1.
V části Nastavení virtuální sítě 1 vyberte Podsítě.
Vyberte + podsíť.
Na stránce Přidat podsíť zadejte nebo vyberte následující informace:
Nastavení Hodnota Name privátní podsíť Rozsah adres podsítě Ponechte výchozí hodnotu 10.0.2.0/24. KONCOVÉ BODY SLUŽBY Služby Vyberte Microsoft.Storage. Zvolte Uložit.
Upozornění
Než povolíte koncový bod služby pro existující podsíť s prostředky, přečtěte si pokyny pro změnu nastavení podsítě.
Omezení síťového přístupu pro podsíť
Ve výchozím nastavení můžou všechny instance virtuálních počítačů v podsíti komunikovat s libovolnými prostředky. Komunikaci do těchto prostředků nebo z nich můžete omezit vytvořením skupiny zabezpečení sítě a jejím přiřazením k podsíti.
Do vyhledávacího pole v horní části stránky portálu vyhledejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.
Ve skupinách zabezpečení sítě vyberte + Vytvořit.
Na kartě Základy vytvořte skupinu zabezpečení sítě, zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Název Zadejte nsg-storage. Oblast Vyberte USA – východ 2. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.
Vytvoření pravidel odchozí skupiny zabezpečení sítě
Do vyhledávacího pole v horní části stránky portálu vyhledejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.
Vyberte nsg-storage.
V Nastavení vyberte pravidlazabezpečení odchozích přenosů.
Vyberte + Přidat.
Vytvořte pravidlo pro povolení odchozí komunikace do služby Azure Storage. V části Přidat odchozí pravidlo zabezpečení zadejte nebo vyberte následující informace:
Nastavení Hodnota Source Vyberte značku služby. Značka zdrojové služby Vyberte VirtualNetwork. Rozsahy zdrojových portů Ponechte výchozí hodnotu *. Cíl Vyberte značku služby. Značka cílové služby Vyberte Úložiště. Služba Ponechte výchozí hodnotu Custom (Vlastní). Rozsahy cílových portů Zadejte 445. Protokol SMB se používá k připojení ke sdílené složce vytvořené v pozdějším kroku. Protokol Vyberte libovolnou položku. Akce Vyberte Povolit. Priorita Ponechte výchozí hodnotu 100. Název Zadejte allow-storage-all. Vyberte + Přidat.
Vytvořte další odchozí pravidlo zabezpečení, které zakáže komunikaci s internetem. Toto pravidlo přepíše výchozí pravidlo ve všech skupinách zabezpečení sítě, které odchozí komunikaci s internetem povoluje. V části Přidat odchozí pravidlo zabezpečení proveďte předchozí kroky s následujícími hodnotami:
Nastavení Hodnota Source Vyberte značku služby. Značka zdrojové služby Vyberte VirtualNetwork. Rozsahy zdrojových portů Ponechte výchozí hodnotu *. Cíl Vyberte značku služby. Značka cílové služby Vyberte Internet. Služba Ponechte výchozí hodnotu Custom (Vlastní). Rozsahy cílových portů Zadejte *. Protokol Vyberte libovolnou položku. Akce Vyberte Odepřít. Priorita Ponechte výchozí hodnotu 110. Název Zadejte odepřít-internet-all. Vyberte Přidat.
Přidružení skupiny zabezpečení sítě k podsíti
Do vyhledávacího pole v horní části stránky portálu vyhledejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.
Vyberte nsg-storage.
V Nastavení vyberte podsítě.
Vyberte + Přidružit.
V podsíti Přidružit vyberte v síti VNet-1 ve virtuální síti. V podsíti vyberte privátnípodsíť.
Vyberte OK.
Omezení síťového přístupu k prostředku
Kroky potřebné k omezení síťového přístupu k prostředkům vytvořeným prostřednictvím služeb Azure, které jsou povolené pro koncové body služby, se liší v různých službách. Konkrétní kroky pro jednotlivé služby najdete v dokumentaci příslušné služby. Zbytek tohoto kurzu obsahuje kroky k omezení síťového přístupu pro účet služby Azure Storage, jako příklad.
Vytvoření účtu úložiště
Vytvořte účet Azure Storage pro kroky v tomto článku. Pokud už účet úložiště máte, můžete ho použít.
Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch
Vyberte + Vytvořit.
Na kartě Základy vytvoření účtu úložiště zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Název účtu úložiště Zadejte úložiště 1. Pokud název není dostupný, zadejte jedinečný název. Umístění Vyberte USA – východ 2. Výkon Ponechte výchozí standard. Redundance Vyberte místně redundantní úložiště (LRS). Vyberte Zkontrolovat.
Vyberte Vytvořit.
Vytvoření sdílené složky v účtu úložiště
Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch
V účtech úložiště vyberte účet úložiště, který jste vytvořili v předchozím kroku.
V úložišti dat vyberte Sdílené složky.
Vyberte + Sdílená složka.
Zadejte nebo vyberte následující informace v nové sdílené složce:
Nastavení Hodnota Name Zadejte sdílenou složku. Úroveň Ponechte výchozí hodnotu Optimalizovaná pro transakce. Vyberte Další: Zálohování.
Zrušte výběr možnosti Povolit zálohování.
Vyberte Zkontrolovat a vytvořit a pak Vytvořit.
Omezení síťového přístupu k podsíti
Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti včetně internetu. Můžete omezit přístup k síti z internetu a všechny ostatní podsítě ve všech virtuálních sítích (s výjimkou podsítě privátní podsítě v virtuální síti vnet-1 .)
Omezení síťového přístupu k podsíti:
Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch
Vyberte svůj účet úložiště.
V části Zabezpečení a sítě vyberte Sítě.
Na kartě Brány firewall a virtuální sítě vyberte Možnost Povoleno z vybraných virtuálních sítí a IP adres v přístupu k veřejné síti.
Ve virtuálních sítích vyberte + Přidat existující virtuální síť.
V části Přidat sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Předplatné Vyberte své předplatné. Virtuální sítě Vyberte vnet-1. Podsítě Vyberte privátní podsíť. Vyberte Přidat.
Výběrem možnosti Uložit uložte konfigurace virtuální sítě.
Vytvoření virtuálních počítačů
Pokud chcete otestovat síťový přístup k účtu úložiště, nasaďte virtuální počítač do každé podsítě.
Vytvoření testovacího virtuálního počítače
Následující postup vytvoří testovací virtuální počítač s názvem vm-1 ve virtuální síti.
Na portálu vyhledejte a vyberte Virtuální počítače.
Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.
Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:
Nastavení Hodnota Podrobnosti projektu Předplatné Vyberte své předplatné. Skupina prostředků Vyberte test-rg. Podrobnosti o instanci Virtual machine name Zadejte vm-1. Oblast Vyberte USA – východ 2. Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury. Typ zabezpečení Ponechte výchozí hodnotu Standard. Image Vyberte Windows Server 2022 Datacenter – x64 Gen2. Architektura virtuálního počítače Ponechte výchozí hodnotu x64. Velikost Vyberte velikost. účet Správa istrator Authentication type Vyberte heslo. Username Zadejte azureuser. Heslo Zadejte heslo. Potvrdit heslo Zadejte znovu heslo. Pravidla portů pro příchozí spojení Veřejné příchozí porty Vyberte Žádná. V horní části stránky vyberte kartu Sítě.
Na kartě Sítě zadejte nebo vyberte následující informace:
Nastavení Hodnota Síťové rozhraní Virtuální síť Vyberte vnet-1. Podsíť Vyberte podsíť 1 (10.0.0.0/24). Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Vyberte Upřesnit. Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu. Jako název zadejte nsg-1 . Ponechte zbytek ve výchozím nastavení a vyberte OK. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.
Zkontrolujte nastavení a vyberte Vytvořit.
Poznámka:
Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.
Poznámka:
Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.
Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:
- Virtuálnímu počítači se přiřadí veřejná IP adresa.
- Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
- Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.
Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.
Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.
Vytvoření druhého virtuálního počítače
Opakováním kroků v předchozí části vytvořte druhý virtuální počítač. V části Vytvoření virtuálního počítače nahraďte následující hodnoty:
Nastavení Hodnota Virtual machine name Zadejte vm-private. Podsíť Vyberte privátní podsíť. Veřejná IP adresa Vyberte Žádná. Skupina zabezpečení sítě síťových adaptérů Vyberte Žádná. Upozorňující
Nepokračujte k dalšímu kroku, dokud se nasazení nedokončí.
Ověření přístupu k účtu úložiště
Virtuální počítač, který jste vytvořili dříve, který je přiřazen k privátní podsíti podsítě, slouží k potvrzení přístupu k účtu úložiště. Virtuální počítač, který jste vytvořili v předchozí části, která je přiřazená podsíti podsítě 1 , slouží k potvrzení, že je blokovaný přístup k účtu úložiště.
Získání přístupového klíče účtu úložiště
Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch
V účtech úložiště vyberte svůj účet úložiště.
V části Zabezpečení a sítě vyberte Přístupové klíče.
Zkopírujte hodnotu klíče1. Možná budete muset vybrat tlačítko Zobrazit , aby se zobrazil klíč.
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte vm-private.
Vyberte Bastion v operacích.
Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Vyberte Připojit.
Otevřete Windows PowerShell. Pomocí následujícího skriptu namapujte sdílenou složku Azure na jednotku Z.
Nahraďte
<storage-account-key>
klíčem, který jste zkopírovali v předchozím kroku.Nahraďte
<storage-account-name>
názvem vašeho účtu úložiště. V tomto příkladu se jedná o úložiště8675.
$key = @{ String = "<storage-account-key>" } $acctKey = ConvertTo-SecureString @key -AsPlainText -Force $cred = @{ ArgumentList = "Azure\<storage-account-name>", $acctKey } $credential = New-Object System.Management.Automation.PSCredential @cred $map = @{ Name = "Z" PSProvider = "FileSystem" Root = "\\<storage-account-name>.file.core.windows.net\file-share" Credential = $credential } New-PSDrive @map
PowerShell vrátí podobný výstup jako v následujícím příkladu:
Name Used (GB) Free (GB) Provider Root ---- --------- --------- -------- ---- Z FileSystem \\storage8675.file.core.windows.net\f...
Sdílená složka Azure se úspěšně namapovala na jednotku Z.
Zavřete připojení Bastionu k privátnímu virtuálnímu počítači.
Ověření odepření přístupu k účtu úložiště
Z vm-1
Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .
Vyberte vm-1.
Vyberte Bastion v operacích.
Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Vyberte Připojit.
Opakujte předchozí příkaz a pokuste se jednotku namapovat na sdílenou složku v účtu úložiště. Možná budete muset znovu zkopírovat přístupový klíč účtu úložiště pro tento postup:
$key = @{ String = "<storage-account-key>" } $acctKey = ConvertTo-SecureString @key -AsPlainText -Force $cred = @{ ArgumentList = "Azure\<storage-account-name>", $acctKey } $credential = New-Object System.Management.Automation.PSCredential @cred $map = @{ Name = "Z" PSProvider = "FileSystem" Root = "\\<storage-account-name>.file.core.windows.net\file-share" Credential = $credential } New-PSDrive @map
Měla by se zobrazit následující chybová zpráva:
New-PSDrive : Access is denied At line:1 char:5 + New-PSDrive @map + ~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
Zavřete připojení Bastionu k virtuálnímu počítači vm-1.
Z místního počítače:
Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch
V účtech úložiště vyberte svůj účet úložiště.
V úložišti dat vyberte Sdílené složky.
Vyberte sdílenou složku.
V nabídce vlevo vyberte Procházet .
Měla by se zobrazit následující chybová zpráva:
Poznámka:
Přístup byl odepřen, protože váš počítač není v privátní podsíti virtuální sítě vnet-1 .
Vyčištění prostředků
Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky:
Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.
Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.
Na stránce test-rg vyberte Odstranit skupinu prostředků.
Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.
Další kroky
V tomto kurzu:
Povolili jste koncový bod služby pro podsíť virtuální sítě.
Dozvěděli jste se, že koncové body služeb můžete povolit pro prostředky nasazené z několika služeb Azure.
Vytvořili jste účet služby Azure Storage a omezili jste síťový přístup k účtu úložiště jenom na prostředky v podsíti virtuální sítě.
Další informace o koncových bodech služeb najdete v tématech Přehled koncových bodů služeb a Správa podsítí.
Pokud máte ve svém účtu více virtuálních sítí, můžete mezi nimi vytvořit propojení, aby mezi nimi mohly komunikovat prostředky. Informace o postupu propojení virtuálních sítí najdete v dalším kurzu.