Kurz: Omezení síťového přístupu k prostředkům PaaS s využitím koncových bodů služby pro virtuální síť pomocí webu Azure Portal

  • Článek
  • 10 min ke čtení

Koncové body služby pro virtuální síť umožňují omezení síťového přístupu k prostředkům některých služeb Azure na podsíť virtuální sítě. Můžete také odebrat internetový přístup k prostředkům. Koncové body služeb poskytují přímé připojení z vaší virtuální sítě k podporovaným službám Azure a umožňují pro přístup ke službám Azure použít privátní adresní prostor virtuální sítě. Provoz směřující do prostředků Azure prostřednictvím koncových bodů služby zůstává vždy v páteřní síti Microsoft Azure. V tomto kurzu se naučíte:

  • Vytvoření virtuální sítě s jednou podsítí
  • Přidání podsítě a povolení koncového bodu služby
  • Vytvoření prostředku Azure a povolení síťového přístupu k tomuto prostředku pouze z podsítě
  • Nasazení virtuálního počítače do každé podsítě
  • Ověření přístupu k prostředku z podsítě
  • Ověření odepření přístupu k prostředku z podsítě a internetu

Pokud chcete, můžete tento kurz absolvovat s použitím Azure CLI nebo Azure PowerShellu.

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Vytvoření virtuální sítě

  1. Přihlaste se k webu Azure Portal.

  2. Vyberte + Vytvořit prostředek v levém horním rohu Azure Portal. Vyhledejte Virtual Network a pak vyberte Vytvořit.

    Snímek obrazovky s hledáním virtuální sítě na stránce pro vytvoření prostředku

  3. Na kartě Základy zadejte následující informace a pak vyberte Další: IP adresy >.

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte Vytvořit novou a zadejte myResourceGroup.
    Name Zadejte myVirtualNetwork.
    Oblast Vyberte (USA) USA – východ

    Snímek obrazovky s kartu Základy pro vytvoření virtuální sítě

  4. Na kartě IP adresy vyberte následující nastavení IP adresy a pak vyberte Zkontrolovat a vytvořit.

    Nastavení Hodnota
    Adresní prostor protokolu IPv4 Ponechte jako výchozí.
    Název podsítě Vyberte výchozí a změňte název podsítě na Veřejné.
    Rozsah adres podsítě Ponechte jako výchozí.

    Snímek obrazovky s kartami IP adres pro vytvoření virtuální sítě

  5. Pokud ověřovací kontroly projdou, vyberte Vytvořit.

  6. Počkejte na dokončení nasazení a pak vyberte Přejít k prostředku nebo přejděte k další části.

Povolení koncového bodu služby

Koncové body služby se povolují pro každou službu a podsíť. Vytvoření podsítě a povolení koncového bodu služby pro podsíť:

  1. Pokud ještě nejste na stránce prostředku virtuální sítě, můžete v poli v horní části portálu vyhledat nově vytvořenou síť. Zadejte myVirtualNetwork a vyberte ji ze seznamu.

  2. V části Nastavení podsítě a pak vyberte + Podsíť, jak je znázorněno níže:

    Snímek obrazovky s přidáním podsítě do existující virtuální sítě

  3. Na stránce Přidat podsíť vyberte nebo zadejte následující informace a pak vyberte Uložit:

    Nastavení Hodnota
    Název Privátní
    Rozsah adres podsítě Ponechte výchozí nastavení.
    Koncové body služby Vyberte Microsoft.Storage
    Zásady koncového bodu služby Ponechte výchozí hodnoty. 0 selected.

    Snímek obrazovky se stránkou pro přidání podsítě s nakonfigurovaných koncovými body služby

Upozornění

Než povolíte koncový bod služby pro existující podsíť s prostředky, přečtěte si pokyny pro změnu nastavení podsítě.

Omezení síťového přístupu pro podsíť

Ve výchozím nastavení mohou všechny instance virtuálních počítačů v podsíti komunikovat s libovolnými prostředky. Komunikaci se všemi prostředky v podsíti a z ní můžete omezit tak, že vytvoříte skupinu zabezpečení sítě a přidružíte ji k podsíti:

  1. Do vyhledávacího pole v horní části Azure Portal vyhledejte Skupiny zabezpečení sítě.

    Snímek obrazovky s hledáním skupin zabezpečení sítě

  2. Na stránce Skupiny zabezpečení sítě vyberte + Vytvořit.

    Snímek obrazovky s úvodní stránkou skupin zabezpečení sítě

  3. Zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků V seznamu vyberte myResourceGroup.
    Name Zadejte myNsgPrivate.
    Umístění Vyberte USA – východ

  4. Vyberte Zkontrolovat a vytvořit a po ověření vyberte Vytvořit.

    Snímek obrazovky se stránkou pro vytvoření skupiny zabezpečení sítě

  5. Po vytvoření skupiny zabezpečení sítě vyberte Přejít k prostředku nebo vyhledejte myNsgPrivate v horní části Azure Portal.

  6. V části Nastavení vyberte Odchozí pravidla zabezpečení a pak vyberte + Přidat.

    Snímek obrazovky s přidáním odchozího pravidla zabezpečení

  7. Vytvořte pravidlo pro povolení odchozí komunikace do služby Azure Storage. Zadejte nebo vyberte následující informace a pak vyberte Přidat:

    Nastavení Hodnota
    Zdroj Vyberte VirtualNetwork.
    Rozsahy zdrojových portů *
    Cíl Vyberte Značka služby.
    Značka cílové služby Vyberte Storage.
    Služba Ponechte výchozí hodnotu jako vlastní.
    Rozsahy cílových portů Změňte na 445. Protokol SMB se používá pro připojení ke sdílené složce vytvořené v pozdějším kroku.
    Protokol Libovolný
    Akce Povolit
    Priorita 100
    Název přejmenovat na Allow-Storage-All

    Snímek obrazovky s vytvářením odchozího zabezpečení pro přístup k úložišti

  8. Vytvořte další odchozí pravidlo zabezpečení, které zakáže komunikaci s internetem. Toto pravidlo přepíše výchozí pravidlo ve všech skupinách zabezpečení sítě, které odchozí komunikaci s internetem povoluje. Pomocí následujících hodnot proveďte kroky 6-9 a pak vyberte Přidat:

    Nastavení Hodnota
    Zdroj Vyberte VirtualNetwork.
    Rozsahy zdrojových portů *
    Cíl Vyberte Značka služby.
    Značka cílové služby Vyberte Internet.
    Služba Ponechte výchozí hodnotu jako vlastní.
    Rozsahy cílových portů *
    Protokol Libovolný
    Akce Změňte výchozí na Odepřít.
    Priorita 110
    Name Změnit na Odepřít – Internet – vše

    Snímek obrazovky s vytvořením odchozího zabezpečení pro blokování přístupu k Internetu

  9. Vytvořte příchozí pravidlo zabezpečení , které umožní provoz protokol RDP (Remote Desktop Protocol) (RDP) do podsítě odkudkoli. Toto pravidlo přepíše výchozí pravidlo zabezpečení, které zakazuje veškerý příchozí provoz z internetu. Připojení ke vzdálené ploše jsou pro podsíť povolená z důvodu testování připojení v pozdějším kroku. v části Nastavení vyberte příchozí pravidla zabezpečení a pak vyberte + přidat.

    Snímek obrazovky s přidáním příchozího pravidla zabezpečení

  10. Zadejte nebo vyberte následující hodnoty a pak vyberte Přidat.

    Nastavení Hodnota
    Zdroj Libovolný
    Rozsahy zdrojových portů *
    Cíl Vyberte VirtualNetwork.
    Rozsahy cílových portů Změňte na 3389
    Protokol Libovolný
    Akce Povolit
    Priorita 120
    Name Změnit na Allow-RDP-All

    Snímek obrazovky s vytvořením pravidla povolit příchozí vzdálenou plochu

    Upozornění

    Port RDP 3389 je přístupný z Internetu. Tento postup se doporučuje jenom pro testování. V produkčních prostředích doporučujeme používat VPN nebo privátní připojení.

  11. v části Nastavení vyberte podsítě a pak vyberte + přidružit.

    Snímek stránky přidružení podsítě skupin zabezpečení sítě

  12. V části Virtual Network vyberte myVirtualNetwork a potom v části podsítě vyberte Private . Vyberte OK a přidružte skupinu zabezpečení sítě k podsíti SELECT.

    Snímek obrazovky přidružení skupiny zabezpečení sítě k privátní podsíti

Omezení síťového přístupu k prostředku

Kroky potřebné k omezení síťového přístupu k prostředkům vytvořeným prostřednictvím služeb Azure, které jsou povolené pro koncové body služby, se budou lišit v rámci služeb. Konkrétní kroky pro jednotlivé služby najdete v dokumentaci příslušné služby. zbývající část tohoto kurzu obsahuje kroky pro omezení síťového přístupu pro účet Azure Storage jako příklad.

Vytvoření účtu úložiště

  1. V levém horním rohu webu Azure Portal vyberte + Vytvořit prostředek.

  2. do panelu vyhledávání zadejte "Storage účet" a vyberte ho z rozevírací nabídky. Potom vyberte Vytvořit.

  3. Zadejte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vybrat myResourceGroup
    Název účtu úložiště Zadejte název, který je jedinečný v rámci všech umístění Azure. Název musí být dlouhý 3-24 znaků, přičemž budou použita pouze čísla a malá písmena.
    Oblast Vyberte (US) východní USA
    Výkon Standard
    Redundance Místně redundantní úložiště (LRS)

    Snímek obrazovky s vytvořením nového účtu úložiště

  4. Vyberte vytvořit + zkontrolovat a po úspěšném ověření kontrol vyberte vytvořit.

    Poznámka

    Dokončení nasazení může trvat několik minut.

  5. Po vytvoření účtu úložiště vyberte Přejít k prostředku.

Vytvoření sdílené složky v účtu úložiště

  1. V části úložiště dat vyberte sdílené složky a pak vyberte + sdílení souborů.

    Snímek obrazovky se stránkou sdílení souborů v účtu úložiště

  2. Zadejte nebo nastavte pro sdílenou složku následující hodnoty a pak vyberte vytvořit:

    Nastavení Hodnota
    Název Moje sdílení souborů
    Kvóta Vyberte nastavit na maximum.
    Úroveň Ponechat jako výchozí, transakce optimalizované.

    Snímek obrazovky se stránkou pro vytvoření nového nastavení sdílení souborů.

  3. Nová sdílená složka by se měla zobrazit na stránce sdílení souborů, pokud v horní části stránky nevybere tlačítko aktualizovat .

Omezení síťového přístupu k podsíti

Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti včetně internetu. Přístup k síti můžete omezit z Internetu a všech ostatních podsítí ve všech virtuálních sítích (s výjimkou privátní podsítě ve virtuální síti myVirtualNetwork ). Omezení síťového přístupu k podsíti:

  1. v části Nastavení pro účet úložiště (s jedinečným názvem) vyberte sítě .

  2. Vyberte možnost povolí přístup z vybraných sítí _ a pak vyberte _+ přidat existující virtuální síť * *.

    Snímek obrazovky se stránkou nastavení sítě účtu úložiště.

  3. V části Přidat sítě vyberte následující hodnoty a pak vyberte Přidat:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Virtuální sítě myVirtualNetwork
    Podsítě Privátní

    Snímek obrazovky s přidáním virtuální sítě na stránku účtu úložiště

  4. Kliknutím na tlačítko Uložit uložte konfiguraci virtuální sítě.

  5. V části zabezpečení + síť pro účet úložiště vyberte přístupové klíče a vyberte Zobrazit klíče. Poznamenejte si hodnotu pro klíč1, která se má použít v pozdějším kroku při mapování sdílené složky ve virtuálním počítači.

    Snímek obrazovky klíče účtu úložiště a připojovacích řetězců

Vytvoření virtuálních počítačů

Pokud chcete otestovat síťový přístup k účtu úložiště, nasaďte do každé podsítě virtuální počítač.

Vytvoření prvního virtuálního počítače

  1. V Azure Portal vyberte + vytvořit prostředek.

  2. Vyberte COMPUTE a pak na virtuálním počítači vytvořte .

  3. Na kartě základy zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte myResourceGroup, který byl vytvořen dříve.
    Název virtuálního počítače Zadejte myVmPublic
    Oblast (USA) USA – východ
    Možnosti dostupnosti Zóna dostupnosti
    Zóna dostupnosti 1
    Image Vyberte bitovou kopii operačního systému. pro tento virtuální počítač Windows serveru 2019 Datacenter – Gen1 .
    Velikost Vyberte velikost instance virtuálního počítače, kterou chcete použít.
    Uživatelské jméno Zadejte libovolné uživatelské jméno.
    Heslo Zadejte libovolné heslo. Heslo musí mít délku aspoň 12 znaků a musí splňovat definované požadavky na složitost.
    Veřejné příchozí porty Povolení vybraných portů
    Vyberte příchozí porty Ponechat výchozí nastavení na RDP (3389)

    Snímek obrazovky s vytvořením nastavení veřejného virtuálního počítače

  4. Na kartě sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Virtual Network Vyberte myVirtualNetwork.
    Podsíť Vyberte Veřejný.
    Skupina zabezpečení sítě NIC Vyberte Upřesnit. Portál automaticky vytvoří skupinu zabezpečení sítě, která umožňuje port 3389. Tento port budete potřebovat otevřít pro připojení k virtuálnímu počítači v pozdějším kroku.

    Snímek obrazovky s vytvořením nastavení sítě veřejného virtuálního počítače

  5. Vyberte zkontrolovat a vytvořit a pak vytvořte a počkejte na dokončení nasazení.

  6. Vyberte Přejít na prostředek, nebo otevřete stránku Domovská > virtuální počítače a vyberte virtuální počítač, který jste právě vytvořili myVmPublic, který se má spustit.

Vytvoření druhého virtuálního počítače

  1. Opakujte kroky 1-5 a vytvořte druhý virtuální počítač. V kroku 3 pojmenujte virtuální počítač myVmPrivate a nastavte skupinu zabezpečení sítě nic na žádná. V kroku 4 vyberte privátní podsíť.

    Snímek obrazovky s vytvořením privátního síťového nastavení virtuálního počítače

  2. Vyberte zkontrolovat a vytvořit a pak vytvořte a počkejte na dokončení nasazení.

    Upozornění

    Nepokračujte k dalšímu kroku, dokud se nasazení nedokončí.

  3. Vyberte Přejít na prostředek, nebo otevřete stránku Domovská > virtuální počítače a vyberte virtuální počítač, který jste právě vytvořili myVmPrivate, který se má spustit.

Ověření přístupu k účtu úložiště

  1. Po vytvoření virtuálního počítače s myVmPrivate přejdete na stránku Přehled tohoto virtuálního počítače. Připojení k virtuálnímu počítači, a to tak, že vyberete tlačítko Připojení a v rozevíracím seznamu vyberete RDP .

    Snímek obrazovky s tlačítkem připojit pro privátní virtuální počítač

  2. Vyberte soubor RDP ke stažení pro stažení souboru vzdálené plochy do počítače.

    Snímek obrazovky se stažením souboru RDP pro privátní virtuální počítač

  3. Otevřete stažený soubor .rdp. po zobrazení výzvy vyberte Připojení.

    Snímek obrazovky s připojením pro privátní virtuální počítač

  4. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Možná budete muset vybrat Další možnosti a pak použít jiný účet k zadání přihlašovacích údajů, které jste zadali při vytváření virtuálního počítače. Do pole e-mailu zadejte přihlašovací údaje účtu správce: uživatelské jméno, které jste zadali dříve. Výběrem OK se přihlaste k virtuálnímu počítače.

    Snímek obrazovky přihlašovacích údajů privátního virtuálního počítače

    Poznámka

    Během procesu přihlášení se může zobrazit upozornění certifikátu. Pokud se toto upozornění zobrazí, vyberte Ano nebo Pokračovat a pokračujte v připojování.

  5. Po přihlášení otevřete Windows PowerShell. Pomocí následujícího skriptu namapování sdílené složky Azure na jednotku Z pomocí PowerShellu. Proměnnou <storage-account-key> a nahraďte hodnotami, které jste uvedli a které jste si předtím v krocích <storage-account-name> Vytvoření účtu úložiště poznamenejte.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential

    PowerShell vrátí podobný výstup jako v následujícím příkladu:

    Name        Used (GB)     Free (GB) Provider      Root
----        ---------     --------- --------      ----
Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...

    Sdílená složka Azure se úspěšně namapovala na jednotku Z.

  6. Ukončete relaci vzdálené plochy k virtuálnímu počítači myVmPrivate.

Ověření odepření přístupu k účtu úložiště

Z myVmPublic:

  1. Do pole Hledat prostředky, služby a dokumenty v horní části portálu zadejte myVmPublic. Jakmile se ve výsledcích hledání zobrazí virtuální počítač myVmPublic, vyberte ho.

  2. Zopakujte kroky 1 až 5 výše v části Potvrzení přístupu k účtu úložiště pro virtuální počítač myVmPublic.

    Po krátkém čekání se zobrazí chyba New-PSDrive : Access is denied. Přístup byl odepřen, protože virtuální počítač myVmPublic je nasazený v podsíti Public. Podsíť Public nemá povolený koncový bod služby pro Azure Storage. Účet úložiště povoluje síťový přístup pouze z podsítě Private, nikoliv z podsítě Private.

    New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
    + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand

  3. Ukončete relaci vzdálené plochy k virtuálnímu počítači myVmPublic.

Z místního počítače:

  1. V Azure Portal přejděte na účet úložiště s jedinečným názvem, který jste vytvořili dříve. Například mystorage007.

  2. V části Úložiště dat vyberte Sdílené složky a pak vyberte složku my-file-share, kterou jste vytvořili dříve.

  3. Měla by se zobrazit následující chybová zpráva:

    Snímek obrazovky s chybovou zprávou odepření přístupu

Poznámka

Přístup byl odepřen, protože váš počítač není v podsíti Private virtuální sítě MyVirtualNetwork.

Vyčištění prostředků

Pokud už je nepotřebujete, odstraňte skupinu prostředků a všechny prostředky, které obsahuje:

  1. Do pole Hledat v horní části portálu zadejte myResourceGroup. Jakmile se ve výsledcích hledání zobrazí skupina prostředků myResourceGroup, vyberte ji.

  2. Vyberte Odstranit skupinu prostředků.

  3. V části ZADEJTE NÁZEV SKUPINY PROSTŘEDKŮ zadejte myResourceGroup a vyberte Odstranit.

Další kroky

V tomto kurzu jste povolili koncový bod služby pro podsíť virtuální sítě. Dozvěděli jste se, že koncové body služeb můžete povolit pro prostředky nasazené z několika služeb Azure. Vytvořili jste účet Azure Storage a omezili jste síťový přístup k účtu úložiště jenom na prostředky v rámci podsítě virtuální sítě. Další informace o koncových bodech služeb najdete v tématech Přehled koncových bodů služeb a Správa podsítí.

Pokud máte ve svém účtu více virtuálních sítí, můžete mezi nimi chtít navázat připojení, aby spolu prostředky mohli komunikovat. Informace o postupu propojení virtuálních sítí najdete v dalším kurzu.

Připojení virtuálních sítí