Tutorial: Einschränken des Netzwerkzugriffs auf PaaS-Ressourcen mit VNET-Dienstendpunkten mithilfe des Azure-Portals

  • Artikel
  • 12 Minuten Lesedauer

VNET-Dienstendpunkte ermöglichen es Ihnen, den Netzwerkzugriff auf einige Azure-Dienstressourcen auf ein Subnetz eines virtuellen Netzwerks einzuschränken. Sie können auch den Internetzugriff auf die Ressourcen entfernen. Dienstendpunkte ermöglichen eine direkte Verbindung zwischen Ihrem virtuellen Netzwerk und unterstützten Azure-Diensten, sodass Sie mithilfe des privaten Adressraums Ihres virtuellen Netzwerks auf die Azure-Dienste zugreifen können. Datenverkehr, der über Dienstendpunkte für Azure-Ressourcen bestimmt ist, verbleibt immer im Microsoft Azure-Backbonenetzwerk.

In diesem Tutorial lernen Sie Folgendes:

  • Erstellen eines virtuellen Netzwerks mit einem Subnetz
  • Hinzufügen eines Subnetzes und Aktivieren eines Dienstendpunkts
  • Erstellen einer Azure-Ressource und Zulassen des Netzwerkzugriffs darauf ausschließlich aus einem Subnetz
  • Bereitstellen eines virtuellen Computers für jedes Subnetz
  • Bestätigen des Zugriffs auf eine Ressource aus einem Subnetz
  • Bestätigen, dass der Zugriff auf eine Ressource aus einem Subnetz und dem Internet verweigert wird

In diesem Tutorial wird das Azure-Portal verwendet. Sie können es auch mithilfe der Azure CLI oder von PowerShell absolvieren.

Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Voraussetzungen

  • Ein Azure-Abonnement

Anmelden bei Azure

Melden Sie sich beim Azure-Portal an.

Erstellen eines virtuellen Netzwerks

  1. Wählen Sie im Menü des Azure-Portals die Option + Ressource erstellen aus.

  2. Suchen Sie nach Virtuelles Netzwerk, und wählen Sie dann Erstellen aus.

    Screenshot der Suche nach einem virtuellen Netzwerk auf der Seite „Ressource erstellen“

  3. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen ein, und wählen Sie anschließend Weiter: IP-Adressen > aus.

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Klicken Sie auf Neu erstellen, und geben Sie myResourceGroup ein.
    Name Geben Sie myVirtualNetwork ein.
    Region Wählen Sie USA, Osten aus.

    Screenshot der Registerkarte „Grundlagen“ zum Erstellen eines virtuellen Netzwerks

  4. Wählen Sie auf der Registerkarte IP-Adressen die folgenden Einstellungen für IP-Adressen und anschließend Überprüfen und erstellen aus.

    Einstellung Wert
    IPv4-Adressraum Behalten Sie den Standard bei.
    Subnetzname Wählen Sie Standard aus, und ändern Sie den Subnetznamen in „Public“.
    Subnetzadressbereich Behalten Sie den Standard bei.

    Screenshot der Registerkarte „IP-Adressen“ zum Erstellen eines virtuellen Netzwerks

  5. Wenn die Validierungsprüfungen erfolgreich waren, wählen Sie Erstellen aus.

  6. Warten Sie, bis die Bereitstellung beendet ist, und wählen Sie dann Zu Ressource wechseln aus, oder fahren Sie mit dem nächsten Abschnitt fort.

Aktivieren eines Dienstendpunkts

Dienstendpunkte werden pro Dienst und pro Subnetz aktiviert. So erstellen Sie ein Subnetz und fügen einen Dienstendpunkt für das Subnetz hinzu

  1. Wenn Sie sich noch nicht auf der Seite „Ressource“ des virtuellen Netzwerks befinden, können Sie im Feld oben im Portal nach dem neu erstellten Netzwerk suchen. Geben Sie den Namen myVirtualNetwork ein, und wählen Sie ihn in der Liste aus.

  2. Wählen Sie unter Einstellungen die Option Subnetze und dann + Subnetz aus, wie in der folgenden Abbildung gezeigt:

    Screenshot des Hinzufügens eines Subnetzes zu einem vorhandenen virtuellen Netzwerk

  3. Wählen Sie auf der Seite Subnetz hinzufügen die folgenden Informationen aus, oder geben Sie sie ein, und klicken Sie dann auf Speichern:

    Einstellung Wert
    Name Privat
    Subnetzadressbereich Behalten Sie den Standard bei.
    Dienstendpunkte Wählen Sie Microsoft.Storage aus.
    Dienstendpunkt-Richtlinien Behalten Sie den Standardwert bei. 0 ausgewählt

    Screenshot der Seite „Subnetz hinzufügen“ mit konfigurierten Dienstendpunkten

Achtung

Lesen Sie vor der Aktivierung eines Dienstendpunkts für ein vorhandenes Subnetz, das Ressourcen enthält, die Informationen unter Ändern von Subnetzeinstellungen.

Einschränken des Netzwerkzugriffs für ein Subnetz

Standardmäßig können alle VM-Instanzen in einem Subnetz mit allen Ressourcen kommunizieren. Sie können die bidirektionale Kommunikation mit allen Ressourcen in einem Subnetz einschränken, indem Sie eine Netzwerksicherheitsgruppe erstellen und dem Subnetz zuordnen:

  1. Suchen Sie über das Suchfeld oben im Azure-Portal nach Netzwerksicherheitsgruppen.

    Screenshot der Suche nach Netzwerksicherheitsgruppen

  2. Wählen Sie auf der Seite Netzwerksicherheitsgruppen die Option + Erstellen aus.

    Screenshot der Landing Page für Netzwerksicherheitsgruppen

  3. Geben Sie die folgenden Informationen an:

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie myResourceGroup in der Liste aus.
    Name Geben Sie myNsgPrivate ein.
    Standort Wählen Sie USA, Osten aus.

  4. Wählen Sie Überprüfen und erstellen und nach Abschluss der Validierungsprüfung Erstellen aus.

    Screenshot der Seite zur Erstellung einer Netzwerksicherheitsgruppe.

  5. Nachdem die Netzwerksicherheitsgruppe erstellt wurde, wählen Sie Zu Ressource wechseln aus, oder suchen Sie oben im Azure-Portal nach myNsgPrivate.

  6. Wählen Sie unter Einstellungen die Option Sicherheitsregeln für ausgehenden Datenverkehr und dann + Hinzufügen aus.

    Screenshot des Hinzufügens einer Sicherheitsregel für ausgehenden Datenverkehr

  7. Erstellen Sie eine Regel, die ausgehende Kommunikation mit dem Azure Storage-Dienst zulässt. Geben Sie die folgenden Informationen ein (oder wählen Sie sie aus), und klicken Sie anschließend auf Hinzufügen:

    Einstellung Wert
    `Source` Wählen Sie Diensttag aus.
    Quelldiensttag Wählen Sie VirtualNetwork aus.
    Source port ranges *
    Destination Wählen Sie Diensttag aus.
    Zieldiensttag Wählen Sie Storage aus.
    Dienst Lassen Sie den Standardwert Benutzerdefiniert unverändert.
    Zielportbereiche Ändern Sie den Wert in 445. Für die Verbindung mit einer Dateifreigabe in einem späteren Schritt wird das SMB-Protokoll verwendet.
    Protocol Any
    Aktion Allow
    Priority 100
    Name Benennen Sie es in Allow-Storage-All um.

    Screenshot der Erstellung einer Sicherheitsregel für ausgehenden Datenverkehr für den Speicherzugriff

  8. Erstellen Sie eine weitere Ausgangssicherheitsregel, die Kommunikation mit dem Internet verweigert. Diese Regel überschreibt eine Standardregel in allen Netzwerksicherheitsgruppen, die ausgehende Internetkommunikation zulässt. Wiederholen Sie die obigen Schritte 6–9 mit folgenden Werten, und wählen Sie dann Hinzufügen aus:

    Einstellung Wert
    `Source` Wählen Sie Diensttag aus.
    Quelldiensttag Wählen Sie VirtualNetwork aus.
    Source port ranges *
    Destination Wählen Sie Diensttag aus.
    Zieldiensttag Wählen Sie Internet aus.
    Dienst Lassen Sie den Standardwert Benutzerdefiniert unverändert.
    Zielportbereiche *
    Protocol Any
    Aktion Ändern Sie den Standardwert in Ablehnen.
    Priority 110
    Name Ändern Sie den Wert in Deny-Internet-All.

    Screenshot der Erstellung einer Sicherheitsregel für ausgehenden Datenverkehr zum Blockieren des Internetzugriffs

  9. Erstellen Sie eine Eingangssicherheitsregel, die RDP-Datenverkehr (Remote Desktop Protocol) an das Subnetz von überall erlaubt. Die Regel setzt eine Standardsicherheitsregel außer Kraft, die jeglichen eingehenden Verkehr aus dem Internet abweist. Remotedesktopverbindungen in das Subnetz sind zulässig, sodass die Konnektivität in einem späteren Schritt getestet werden kann. Wählen Sie unter Einstellungen die Option Sicherheitsregeln für eingehenden Datenverkehr und dann + Hinzufügen aus.

    Screenshot des Hinzufügens einer Sicherheitsregel für eingehenden Datenverkehr

  10. Geben Sie die folgenden Werte ein, oder wählen Sie sie aus, und wählen Sie dann Hinzufügen aus.

    Einstellung Wert
    `Source` Any
    Source port ranges *
    Destination Wählen Sie Diensttag aus.
    Zieldiensttag Wählen Sie VirtualNetwork aus.
    Dienst Lassen Sie den Standardwert Benutzerdefiniert unverändert.
    Zielportbereiche Ändern Sie den Wert in 3389.
    Protocol Any
    Aktion Allow
    Priority 120
    Name Ändern Sie den Wert in Allow-RDP-All.

    Screenshot der Erstellung einer Sicherheitsregel für eingehenden Datenverkehr für Remotedesktop

    Warnung

    RDP-Port 3389 wird für das Internet verfügbar gemacht. Dies wird nur für Tests empfohlen. Für Produktionsumgebungen empfehlen wir die Verwendung einer VPN- oder privaten Verbindung.

  11. Wählen Sie unter Einstellungen die Option Subnetze und dann + Zuordnen aus.

    Screenshot der Seite für die Subnetzzuordnung für Netzwerksicherheitsgruppen

  12. Wählen Sie unter Virtuelles Netzwerk das Netzwerk myVirtualNetwork und anschließend unter Subnetze die Option Privat aus. Wählen Sie OK aus, um die Netzwerksicherheitsgruppe dem ausgewählten Subnetz zuzuordnen.

    Screenshot der Zuordnung einer Netzwerksicherheitsgruppe zu einem privaten Subnetz

Einschränken des Netzwerkzugriffs auf eine Ressource

Die Schritte, die erforderlich sind, um den Netzwerkzugriff auf Ressourcen einzuschränken, die durch Azure-Dienste erstellt und für Dienstendpunkte aktiviert wurden, sind je nach Dienst unterschiedlich. Informationen zu den Schritten für einzelne Dienste finden Sie in der Dokumentation des jeweiligen Diensts. Im weiteren Verlauf dieses Tutorials wird als Beispiel der Netzwerkzugriff für ein Azure Storage-Konto eingeschränkt.

Speicherkonto erstellen

  1. Klicken Sie im Azure-Portal links oben auf + Ressource erstellen.

  2. Geben Sie „Speicherkonto“ in die Suchleiste ein, und wählen Sie es in der Dropdownliste aus. Klicken Sie anschließend auf Erstellen.

  3. Geben Sie Folgendes ein:

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Ressourcengruppe Wählen Sie myResourceGroup aus.
    Speicherkontoname Der eingegebene Name muss für sämtliche Azure-Standorte eindeutig sein. Der Name muss zwischen 3 und 24 Zeichen lang sein und darf nur Zahlen und Kleinbuchstaben enthalten.
    Region Wählen Sie USA, Osten aus.
    Leistung Standard
    Redundanz Lokal redundanter Speicher (LRS)

    Screenshot der Erstellung eines neuen Speicherkontos

  4. Wählen Sie Erstellen und überprüfen und nach Abschluss der Validierungsprüfungen Erstellen aus.

    Hinweis

    Die Bereitstellung kann einige Minuten in Anspruch nehmen.

  5. Wählen Sie nach dem Erstellen des neuen Speicherkontos Zu Ressource wechseln aus.

Erstellen einer Dateifreigabe im Speicherkonto

  1. Wählen Sie unter Dateidienst die Option Dateifreigaben und dann + Dateifreigabe aus.

    Screenshot der Seite „Dateifreigabe“ in einem Speicherkonto

  2. Geben Sie die folgenden Werte für die Dateifreigabe ein, oder legen Sie sie fest, und wählen Sie dann Erstellen aus:

    Einstellung Wert
    Name my-file-share
    Kontingent Wählen Sie Set to maximum (Auf Maximum festlegen) aus.
    Tarif Behalten Sie die Standardeinstellung Transaction optimized (Transaktionsoptimiert) bei.

    Screenshot der Einstellungsseite für das Erstellen einer neuen Dateifreigabe

  3. Die neue Dateifreigabe sollte auf der Dateifreigabeseite angezeigt werden. Wählen Sie andernfalls oben auf der Seite die Schaltfläche Aktualisieren aus.

Einschränken des Netzwerkzugriffs auf ein Subnetz

Standardmäßig akzeptieren Speicherkonten Netzwerkverbindungen von Clients in allen Netzwerken, einschließlich des Internets. Sie können den Zugriff über das Internet sowie alle anderen Subnetze in allen virtuellen Netzwerken einschränken (außer über das Subnetz Private im virtuellen Netzwerk myVirtualNetwork). So schränken Sie den Netzwerkzugriff auf ein Subnetz ein

  1. Wählen Sie unter Einstellungen für Ihr (eindeutig benanntes) Speicherkonto die Option Netzwerkbetrieb aus.

  2. Wählen Sie Zugriff zulassen über Ausgewählte Netzwerke und dann + Vorhandenes virtuelles Netzwerk hinzufügen aus.

    Screenshot der Seite mit den Netzwerkeinstellungen des Speicherkontos

  3. Wählen Sie unter Netzwerke hinzufügen die folgenden Werte und dann Hinzufügen aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Virtuelle Netzwerke myVirtualNetwork
    Subnetze Privat

    Screenshot der Seite für das Hinzufügen eines virtuellen Netzwerks zum Speicherkonto

  4. Wählen Sie die Schaltfläche Speichern aus, um die Konfiguration des virtuellen Netzwerks zu speichern.

  5. Wählen Sie unter Sicherheit + Netzwerkbetrieb für das Speicherkonto die Option Zugriffsschlüssel und dann Schlüssel anzeigen aus. Notieren Sie den Wert des Schlüssels „key1“, da Sie ihn beim Zuordnen der Dateifreigabe zu einer VM in einem späteren Schritt benötigen.

    Screenshot mit Speicherkontoschlüssel und Verbindungszeichenfolgen

Erstellen von virtuellen Computern

Zum Testen des Netzwerkzugriffs auf ein Speicherkonto stellen Sie einen virtuellen Computer für jedes Subnetz bereit.

Erstellen des ersten virtuellen Computers

  1. Wählen Sie im Azure-Portal die Option + Ressource erstellen aus.

  2. Wählen Sie Compute und dann unter Virtueller Computer die Option Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen die folgenden Informationen an, oder wählen Sie sie aus:

    Einstellung Wert
    Subscription Wählen Sie Ihr Abonnement aus.
    Resource group Wählen Sie die zuvor erstellte myResourceGroup aus.
    Name des virtuellen Computers Geben Sie myVmPublic ein.
    Region (USA) USA, Osten
    Verfügbarkeitsoptionen Verfügbarkeitszone
    Verfügbarkeitszone 1
    Image Wählen Sie ein Betriebssystemimage aus. Für diese VM wurde Windows Server 2019 Datacenter – Gen1 ausgewählt.
    Size Wählen Sie die Größe der VM-Instanz aus, die Sie verwenden möchten.
    Username Geben Sie den gewünschten Benutzernamen ein.
    Kennwort Geben Sie das gewünschte Kennwort ein. Das Kennwort muss mindestens zwölf Zeichen lang sein und die definierten Anforderungen an die Komplexität erfüllen.
    Öffentliche Eingangsports Ausgewählte Ports zulassen
    Eingangsports auswählen Belassen Sie die Standardeinstellung RDP (3389) .

    Screenshot der Einstellungen für die Erstellung öffentlicher VMs

  4. Geben Sie auf der Registerkarte Netzwerkbetrieb die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Wert
    Virtual Network Wählen Sie myVirtualNetwork aus.
    Subnet Wählen Sie Öffentlich aus.
    NIC-Netzwerksicherheitsgruppe Wählen Sie Erweitertaus. Das Portal erstellt automatisch eine Netzwerksicherheitsgruppe, die den Port 3389 zulässt. Dieser Port muss geöffnet werden, um in einem späteren Schritt eine Verbindung mit der VM herstellen zu können.

    Screenshot der Netzwerkeinstellungen für die Erstellung öffentlicher VMs

  5. Wählen Sie Überprüfen und erstellen, dann Erstellen aus und warten Sie, bis die Bereitstellung abgeschlossen ist.

  6. Wählen Sie Zu Ressource wechseln aus, oder öffnen Sie die Seite Startseite > Virtuelle Computer, und wählen Sie die soeben erstellte VM myVmPublic aus, die gestartet werden sollte.

Erstellen des zweiten virtuellen Computers

  1. Wiederholen Sie die Schritte 1–5, um eine zweite VM zu erstellen. Geben Sie in Schritt 3 der VM den Namen myVmPrivate, und legen Sie NIC-Netzwerksicherheitsgruppe auf Keine fest. Wählen Sie in Schritt 4 das Subnetz Private aus.

    Screenshot der Netzwerkeinstellungen für die Erstellung privater VMs

  2. Wählen Sie Überprüfen und erstellen, dann Erstellen aus und warten Sie, bis die Bereitstellung abgeschlossen ist.

    Warnung

    Fahren Sie erst mit dem nächsten Schritt fort, wenn die Bereitstellung abgeschlossen ist.

  3. Wählen Sie Zu Ressource wechseln aus, oder öffnen Sie die Seite Startseite > Virtuelle Computer, und wählen Sie die soeben erstellte VM myVmPrivate aus, die gestartet werden sollte.

Bestätigen des Zugriffs auf das Speicherkonto

  1. Nachdem die VM myVmPrivate erstellt wurde, wechseln Sie zur Übersichtsseite der VM. Stellen Sie eine Verbindung mit der VM her, indem Sie die Schaltfläche Verbinden auswählen, und wählen Sie dann in der Dropdownliste RDP aus.

    Screenshot der Schaltfläche „Verbinden“ für eine private VM

  2. Wählen Sie RDP-Datei herunterladen aus, um die Remotedesktopdatei auf Ihren Computer herunterzuladen.

    Screenshot der Option „RDP-Datei herunterladen“ für eine private VM

  3. Öffnen Sie die heruntergeladene RDP-Datei. Wenn Sie dazu aufgefordert werden, wählen Sie Connect aus.

    Screenshot des Bildschirms „Verbindung“ für eine private VM

  4. Geben Sie den Benutzernamen und das Kennwort ein, die Sie beim Erstellen des virtuellen Computers festgelegt haben. Unter Umständen müssen Sie auf Weitere Optionen und anschließend auf Anderes Konto verwenden klicken, um die Anmeldeinformationen anzugeben, die Sie beim Erstellen des virtuellen Computers eingegeben haben. Geben Sie in das E-Mail-Feld die Anmeldeinformationen für „Administratorkonto: Benutzername“ ein, die Sie zuvor angegeben haben. Wählen Sie OK aus, um sich auf der VM anzumelden.

    Screenshot des Anmeldeinformationsbildschirms für eine private VM

    Hinweis

    Während des Anmeldevorgangs wird unter Umständen eine Zertifikatwarnung angezeigt. Wenn eine Warnung angezeigt wird, klicken Sie auf Ja bzw. Weiter, um mit dem Herstellen der Verbindung fortzufahren.

  5. Öffnen Sie nach der Anmeldung Windows PowerShell. Ordnen Sie mithilfe des folgenden Skripts die Azure-Dateifreigabe dem Laufwerk „Z“ zu, indem Sie PowerShell verwenden. Ersetzen Sie <storage-account-key> und die beiden Variablen <storage-account-name> durch die zuvor in Erstellen eines Speicherkontos angegebenen und abgerufenen Werte.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential

    PowerShell gibt eine Ausgabe ähnlich der folgenden Beispielausgabe zurück:

    Name        Used (GB)     Free (GB) Provider      Root
----        ---------     --------- --------      ----
Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...

    Die Azure-Dateifreigabe wurde dem Laufwerk Z erfolgreich zugeordnet.

  6. Schließen Sie die Remotedesktopsitzung mit der VM myVmPrivate.

Bestätigen, dass der Zugriff auf das Speicherkonto verweigert wird

Auf myVmPublic:

  1. Geben Sie oben im Portal im Feld Ressourcen, Dienste und Dokumente durchsuchenmyVmPublic ein. Wenn myVmPublic in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.

  2. Wiederholen Sie in Bestätigen des Zugriffs auf das Speicherkonto für die VM myVmPublic die obigen Schritte 1–5.

    Nach einer kurzen Wartezeit tritt ein Fehler vom Typ New-PSDrive : Access is denied auf. Der Zugriff wird verweigert, da der virtuelle Computer myVmPublic im Subnetz Public bereitgestellt wird. Das Subnetz Public verfügt nicht über einen Dienstendpunkt, der für Azure Storage aktiviert ist. Das Speicherkonto lässt Netzwerkzugriff nur über das Subnetz Private, nicht jedoch über das Subnetz Public zu.

    New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
    + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand

  3. Schließen Sie die Remotedesktopsitzung für den virtuellen Computer myVmPublic.

Auf einem lokalen Computer:

  1. Wechseln Sie im Azure-Portal zu dem eindeutig benannten Speicherkonto, das Sie zuvor erstellt haben, beispielsweise mystorage007.

  2. Wählen Sie unter Datenspeicher die Option Dateifreigaben und dann die zuvor erstellte my-file-share aus.

  3. Es sollte die folgende Fehlermeldung angezeigt werden:

    Screenshot der Fehlermeldung „Zugriff verweigert“

Hinweis

Der Zugriff wird verweigert, da sich Ihr Computer nicht im Subnetz Private des virtuellen Netzwerks MyVirtualNetwork befindet.

Bereinigen von Ressourcen

Löschen Sie die Ressourcengruppe mit allen ihren Ressourcen, wenn Sie sie nicht mehr benötigen:

  1. Geben Sie im oben im Portal im Feld Suche die Zeichenfolge myResourceGroup ein. Wenn myResourceGroup in den Suchergebnissen angezeigt wird, wählen Sie diese Angabe aus.

  2. Wählen Sie die Option Ressourcengruppe löschen.

  3. Geben Sie für Geben Sie den Ressourcengruppennamen ein: den Namen myResourceGroup ein, und klicken Sie auf Löschen.

Nächste Schritte

In diesem Tutorial haben Sie einen Dienstendpunkt für ein Subnetz eines virtuellen Netzwerks aktiviert. Sie haben erfahren, dass Dienstendpunkte für Ressourcen aktiviert werden können, die über mehrere Azure-Dienste bereitgestellt werden. Sie haben ein Azure Storage-Konto erstellt und den Netzwerkzugriff auf das Speicherkonto ausschließlich auf Ressourcen im Subnetz eines virtuellen Netzwerks eingeschränkt. Weitere Informationen zu Dienstendpunkten finden Sie unter Dienstendpunkte im virtuellen Netzwerk und Hinzufügen, Ändern oder Löschen von Subnetzen virtueller Netzwerke.

Wenn Sie über mehrere virtuelle Netzwerke in Ihrem Konto verfügen, sollten Sie eine Verbindung zwischen diesen in Erwägung ziehen, damit die Ressourcen untereinander kommunizieren können. Im nächsten Tutorial erfahren Sie, wie Sie Verbindungen zwischen virtuellen Netzwerken herstellen.

Herstellen von Verbindungen zwischen virtuellen Netzwerken