Tutorial: Herstellen einer Verbindung mit einem Speicherkonto mithilfe eines privaten Endpunkts in Azure
Der private Azure-Endpunkt ist der grundlegende Baustein für Private Link in Azure. Mit Azure-Ressourcen wie VMs können Sie privat und sicher mit Private Link-Ressourcen wie Azure Storage kommunizieren.
In diesem Tutorial lernen Sie Folgendes:
- Erstellen eines virtuellen Netzwerks und eines Bastion-Hosts.
- Erstellen Sie ein Speicherkonto, und deaktivieren Sie den öffentlichen Zugriff.
- Erstellen Sie einen privaten Endpunkt für das Speicherkonto.
- Erstellen Sie eine VM.
- Testen der Verbindung mit dem privaten Endpunkt des Speicherkontos
Voraussetzungen
- Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Anmelden bei Azure
Melden Sie sich beim Azure-Portal an.
Erstellen eines virtuellen Netzwerks und eines Azure Bastion-Hosts
Mit den folgenden Schritten wird ein virtuelles Netzwerk mit einem Ressourcensubnetz, einem Azure Bastion-Subnetz und einem Bastion-Host erstellt:
Suchen Sie im Portal nach der Option Virtuelle Netzwerke und wählen Sie sie aus.
Wählen Sie auf der Seite Virtuelle Netzwerke die Option + Erstellen aus.
Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie Neu erstellen.
Geben Sie test-rg für den Namen ein.
Wählen Sie OK aus.Instanzendetails Name Geben Sie vnet-1 ein. Region Wählen Sie USA, Osten 2 aus. 
Wählen Sie Weiter aus, um zur Registerkarte Sicherheit zu gelangen.
Wählen Sie unter Azure Bastion die Option Bastion aktivieren aus.
Bastion verwendet Ihren Browser, um mithilfe ihrer privaten IP-Adressen eine Verbindung mit VMs in Ihrem virtuellen Netzwerk über Secure Shell (SSH) oder das Remotedesktopprotokoll (RDP) herzustellen. Die VMs benötigen keine öffentlichen IP-Adressen, keine Clientsoftware und keine spezielle Konfiguration. Weitere Informationen finden Sie unter Was ist Azure Bastion?.
Hinweis
Die Stundenpreise gelten ab dem Zeitpunkt der Bereitstellung von Bastion, unabhängig von der Nutzung ausgehender Daten. Weitere Informationen dazu finden Sie unter Preise und SKUs. Wenn Sie Bastion im Rahmen eines Tutorials oder Tests bereitstellen, empfiehlt es sich, diese Ressource zu löschen, sobald Sie sie nicht mehr benötigen.
Geben Sie unter Azure Bastion die folgenden Informationen ein, oder wählen Sie diese aus:
Einstellung Wert Azure Bastion-Hostname Geben Sie bastion ein. Öffentliche Azure Bastion-IP-Adresse Wählen Sie Öffentliche IP-Adresse erstellen aus.
Geben Sie public-ip-bastion als Namen ein.
Wählen Sie OK aus.
Wählen Sie Weiter aus, um zur Registerkarte IP-Adressen zu gelangen.
Wählen Sie im Feld für den Adressraum unter Subnetze das Standardsubnetz aus.
Geben Sie unter Subnetz bearbeiten die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Subnetzdetails Subnetzvorlage Übernehmen Sie den Standardwert Default. Name Geben Sie subnet-1 ein. Startadresse Übernehmen Sie den Standardwert 10.0.0.0. Subnetzgröße Übernehmen Sie den Standardwert: /24 (256 Adressen). 
Wählen Sie Speichern.
Wählen Sie unten im Fenster die Option Überprüfen + erstellen aus. Klicken Sie nach der Validierung auf Erstellen.
Erstellen eines Speicherkontos
Erstellen Sie ein Azure Storage-Konto für die Schritte in diesem Artikel. Wenn Sie bereits über ein Speicherkonto verfügen, können Sie es stattdessen verwenden.
Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonto ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie + Erstellen aus.
Geben Sie auf der Registerkarte Grundlagen der Seite Speicherkonto erstellen die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Azure-Abonnement. Ressourcengruppe Wählen Sie test-rg aus. Instanzendetails Speicherkontoname Geben Sie storage1 ein. Wenn der Name nicht verfügbar ist, geben Sie einen eindeutigen Namen ein. Standort Wählen Sie (USA) USA, Osten 2 aus. Leistung Übernehmen Sie den Standardwert Standard. Redundanz Wählen Sie Lokal redundanter Speicher (LRS) aus. Wählen Sie Review (Überprüfen) aus.
Klicken Sie auf Erstellen.
Deaktivieren des öffentlichen Zugriffs auf das Speicherkonto
Bevor Sie den privaten Endpunkt erstellen, empfiehlt es sich, den öffentlichen Zugriff auf das Speicherkonto zu deaktivieren. Führen Sie die folgenden Schritte aus, um den öffentlichen Zugriff auf das Speicherkonto zu deaktivieren.
Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonto ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie storage1 oder den Namen Ihres vorhandenen Speicherkontos aus.
Wählen Sie unter Sicherheit + Netzwerk die Option Netzwerk aus.
Wählen Sie auf der Registerkarte Firewalls und virtuelle Netzwerke im Öffentlichen Netzwerkzugriff die Option Deaktiviert aus.
Wählen Sie Speichern aus.
Erstellen eines privaten Endpunkts
Geben Sie im oberen Bereich des Portals den Suchbegriff Privater Endpunkt in das Suchfeld ein. Wählen Sie Private Endpunkte aus.
Wählen Sie +Erstellen in Private Endpunkte aus.
Geben Sie auf der Registerkarte Grundlagen von Privaten Endpunkt erstellen die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie test-rg aus. Instanzendetails Name Geben Sie private-endpoint ein. Name der Netzwerkschnittstelle Behalten Sie den Standardwert von private-endpoint-nic bei. Region Wählen Sie USA, Osten 2 aus. Klicken Sie auf Weiter: Ressource aus.
Geben Sie im Bereich Ressource die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung Wert Verbindungsmethode Behalten Sie den Standardwert von Verbindung mit einer Azure-Ressource in meinem Verzeichnis herstellen bei. Subscription Wählen Sie Ihr Abonnement aus. Ressourcentyp Wählen Sie Microsoft.Storage/storageAccounts aus. Resource Wählen Sie storage-1 oder Ihr Speicherkonto aus. Unterressource des Ziels Wählen Sie Blob aus. Wählen Sie Weiter: Virtuelles Netzwerk aus.
Geben Sie unter Virtuelles Netzwerk die folgenden Informationen ein, oder wählen Sie sie aus.
Einstellung Wert Netzwerk Virtuelles Netzwerk Wählen Sie vnet-1 (test-rg) aus. Subnet Wählen Sie subnet-1 aus. Netzwerkrichtlinie für private Endpunkte Wählen Sie Bearbeiten aus, um die Netzwerkrichtlinie für private Endpunkte anzuwenden.
Aktivieren Sie unter Subnetzrichtlinie bearbeiten die Kontrollkästchen neben Netzwerksicherheitsgruppen und Routingtabellen in der Auswahlliste der Einstellungen der Netzwerkrichtlinien für alle privaten Endpunkte in diesem Subnetz.
Wählen Sie Speichern aus.
Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte.Einstellung Wert Konfiguration der privaten IP-Adresse Wählen Sie IP-Adresse dynamisch zuweisen aus. 
Wählen Sie Weiter: DNS aus.
Behalten Sie die Standardwerte in DNS bei. Wählen Sie Weiter: Tags und dann Weiter: Überprüfen + erstellen aus.
Klicken Sie auf Erstellen.
Erstellen eines virtuellen Testcomputers
Mit dem folgenden Verfahren wird im virtuellen Netzwerk eine Test-VM mit dem Namen vm-1 erstellt.
Suchen Sie im Portal nach Virtuelle Computer, und klicken Sie darauf.
Wählen Sie unter VM die Option + Erstellen und dann Azure-VM aus.
Geben Sie unter Virtuellen Computer erstellen auf der Registerkarte Grundlagen die folgenden Informationen ein, oder wählen Sie sie aus:
Einstellung Wert Projektdetails Subscription Wählen Sie Ihr Abonnement aus. Resource group Wählen Sie test-rg aus. Instanzendetails Name des virtuellen Computers Geben Sie vm-1 ein. Region Wählen Sie USA, Osten 2 aus. Verfügbarkeitsoptionen Wählen Sie die Option Keine Infrastrukturredundanz erforderlich aus. Sicherheitstyp Übernehmen Sie den Standardwert Standard. Image Wählen Sie Windows Server 2022 Datacenter – x64 Gen2 aus. VM-Architektur Übernehmen Sie den Standardwert x64. Size Wählen Sie eine Größe aus. Administratorkonto Authentifizierungsart Wählen Sie Kennwort aus. Username Geben Sie azureuser ein. Kennwort Geben Sie ein Kennwort ein. Kennwort bestätigen Geben Sie das Kennwort erneut ein. Regeln für eingehende Ports Öffentliche Eingangsports Wählen Sie Keine. Wählen Sie oben auf der Seite die Registerkarte Netzwerk aus.
Geben Sie auf der Registerkarte Netzwerk die folgenden Informationen ein, bzw. wählen Sie sie aus:
Einstellung Wert Netzwerkschnittstelle Virtuelles Netzwerk Wählen Sie vnet-1 aus. Subnet Wählen Sie Subnetz-1 (10.0.0.0/24) aus. Öffentliche IP-Adresse Wählen Sie Keine aus. NIC-Netzwerksicherheitsgruppe Wählen Sie Erweitertaus. Konfigurieren von Netzwerksicherheitsgruppen Wählen Sie Neu erstellen.
Geben Sie nsg-1 für Name ein.
Behalten Sie für den Rest die Standards bei, und wählen Sie OK aus.Behalten Sie für die restlichen Einstellungen die Standards bei, und wählen Sie dann Überprüfen + erstellen aus.
Überprüfen Sie die Einstellungen, und wählen Sie Erstellen aus.
Hinweis
VMs in einem virtuellen Netzwerk mit einem Bastionhost benötigen keine öffentlichen IP-Adressen. Bastion stellt die öffentliche IP-Adresse bereit und die VMs verwenden private IP-Adressen für die Kommunikation innerhalb des Netzwerks. Sie können die öffentlichen IP-Adressen von allen VMs in von Bastion gehosteten virtuellen Netzwerken entfernen. Weitere Informationen finden Sie unter Trennen einer öffentlichen IP-Adresse von einer Azure-VM.
Hinweis
Azure stellt eine ausgehende Standardzugriffs-IP für VMs bereit, denen keine öffentliche IP-Adresse zugewiesen ist oder die sich im Backendpool eines internen grundlegenden Azure-Lastenausgleichs befinden. Der Mechanismus für Standard-IP-Adressen für den ausgehenden Zugriff stellt eine ausgehende IP-Adresse bereit, die nicht konfigurierbar ist.
Die Standard-IP-Adresse für ausgehenden Zugriff ist deaktiviert, wenn eines der folgenden Ereignisse auftritt:
- Dem virtuellen Computer wird eine öffentliche IP-Adresse zugewiesen.
- Die VM wird im Backendpool eines Standardlastenausgleichs platziert (mit oder ohne Ausgangsregeln).
- Dem Subnetz der VM wird eine Azure NAT Gateway-Ressource zugewiesen.
VMs, die Sie mithilfe von VM-Skalierungsgruppen im Orchestrierungsmodus „Flexibel“ erstellen, haben keinen ausgehenden Standardzugriff.
Weitere Informationen zu ausgehenden Verbindungen in Azure finden Sie unter Standardzugriff in ausgehender Richtung und Verwenden von SNAT (Source Network Address Translation) für ausgehende Verbindungen.
Speicherzugriffsschlüssel
Der Speicherzugriffsschlüssel ist für die späteren Schritte erforderlich. Wechseln Sie zu dem Speicherkonto, das Sie zuvor erstellt haben, und kopieren die Verbindungszeichenfolge mit dem Zugriffsschlüssel für das Speicherkonto.
Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonto ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie das Speicherkonto, das Sie in den vorherigen Schritten erstellt haben, oder Ihr vorhandenes Speicherkonto aus.
Wählen Sie im Abschnitt Sicherheit und Netzwerk für das Speicherkonto die Option Zugriffsschlüssel aus.
Wählen Sie Anzeigen aus, und kopieren Sie dann die Verbindungszeichenfolge für key1.
Hinzufügen eines Blobcontainers
Geben Sie in das Suchfeld im oberen Bereich des Portals Speicherkonto ein. Wählen Sie in den Suchergebnissen Speicherkonten aus.
Wählen Sie das Speicherkonto aus, das Sie im vorherigen Schritt erstellt haben.
Wählen Sie im Abschnitt Datenspeicher die Option Container aus.
Wählen Sie + Container aus, um einen neuen Container zu erstellen.
Geben Sie container in Name ein, und wählen Sie Privat (kein anonymer Zugriff) unter Öffentliche Zugriffsebene aus.
Klicken Sie auf Erstellen.
Testen der Verbindung mit dem privaten Endpunkt
In diesem Abschnitt verwenden Sie die VM, die Sie im vorherigen Schritt erstellt haben, um mithilfe des Microsoft Azure Storage-Explorers über den privaten Endpunkt eine Verbindung mit dem Speicherkonto herzustellen.
Geben Sie im Suchfeld oben im Portal den Suchbegriff Virtueller Computer ein. Wählen Sie in den Suchergebnissen Virtuelle Computer aus.
Wählen Sie vm-1 aus.
Wählen Sie unter Vorgänge die Option Bastion aus.
Geben Sie Benutzernamen und Kennwort ein, die Sie beim Erstellen des virtuellen Computers festgelegt haben.
Wählen Sie Verbinden.
Öffnen Sie Windows PowerShell auf dem Server, nachdem Sie eine Verbindung hergestellt haben.
Geben Sie
nslookup <storage-account-name>.blob.core.windows.netein. Ersetzen Sie <storage-account-name> durch den Namen des Speicherkontos, das Sie in den vorherigen Schritten erstellt haben. Das folgende Beispiel zeigt die Ausgabe des Befehls.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.netAls Name des Speicherkontos wird die private IP-Adresse 10.0.0.10 zurückgegeben. Diese Adresse befindet sich in dem Subnetz subnet-1 des virtuellen Netzwerks vnet-1, das Sie zuvor erstellt haben.
Installieren Sie die Microsoft Azure Storage-Explorer auf dem virtuellen Computer.
Nachdem Microsoft Azure Storage-Explorer installiert wurde, wählen Sie Fertigstellen aus. Lassen Sie das Kontrollkästchen aktiviert, um die Anwendung zu öffnen.
Wählen Sie das Netzsteckersymbol aus, um in der Symbolleiste auf der linken Seite das Dialogfeld Ressource auswählen zu öffnen.
Wählen Sie unter Ressource auswählen die Option Speicherkonto oder Dienst aus, um im Microsoft Azure Storage-Explorer eine Verbindung mit Ihrem Speicherkonto hinzuzufügen, das Sie in den vorherigen Schritten erstellt haben.
Wählen Sie auf dem Bildschirm Verbindungsmethode auswählen die Option Verbindungszeichenfolge und dann Weiter aus.
Fügen Sie im Feld unter Verbindungszeichenfolge die in den vorherigen Schritten kopierte Verbindungszeichenfolge aus dem Speicherkonto ein. Der Name des Speicherkontos wird automatisch im Feld unter Anzeigename aufgefüllt.
Wählen Sie Weiter aus.
Überprüfen Sie in Zusammenfassung, ob die Einstellungen korrekt sind.
Wählen Sie Verbinden aus.
Wählen Sie Ihr Speicherkonto im Explorer-Menü unter Speicherkonten aus.
Erweitern Sie das Speicherkonto und dann Blobcontainer.
Der container, den Sie zuvor erstellt haben, wird angezeigt.
Trennen Sie die Verbindung mit vm-1.
Bereinigen von Ressourcen
Wenn Sie mit der Verwendung der von Ihnen erstellten Ressourcen fertig sind, können Sie die Ressourcengruppe und alle zugehörigen Ressourcen löschen:
Suchen Sie im Azure-Portal nach Ressourcengruppen, und wählen Sie die entsprechende Option aus.
Wählen Sie auf der Seite Ressourcengruppen die Ressourcengruppe test-rg aus.
Wählen Sie auf der Seite test-rg die Option Ressourcengruppe löschen aus.
Geben Sie test-rg unter Ressourcengruppennamen eingeben, um die Löschung zu bestätigen und wählen Sie dann Löschen aus.
Nächste Schritte
In diesem Tutorial haben Sie gelernt, wie Sie Folgendes erstellen:
virtuelles Netzwerk und Bastionhost
Virtuellen Computer
Speicherkonto und ein Container
Erfahren Sie, wie Sie eine Verbindung mit einem Azure Cosmos DB-Konto über Azure Private Endpoint herstellen: