Tutoriel : Se connecter à un compte de stockage en utilisant un point de terminaison privé Azure

  • Article

Azure Private Endpoint est le composant fondamental de Private Link dans Azure. Il permet aux ressources Azure, comme les machines virtuelles, de communiquer en privé et en toute sécurité avec les ressources Private Link comme Stockage Azure.

Diagramme des ressources créées dans le didacticiel.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un réseau virtuel et un hôte Azure bastion.
  • Créez un compte de stockage et désactivez l'accès public.
  • Créez un point de terminaison privé pour le compte de stockage.
  • Créez une machine virtuelle.
  • Tester la connectivité au point de terminaison privé du compte de stockage.

Prérequis

  • Un abonnement Azure. Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Connexion à Azure

Connectez-vous au portail Azure.

Créer un réseau virtuel et un hôte Azure Bastion

La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Bastion :

  1. Dans le portail, recherchez et sélectionnez Réseaux virtuels.

  2. Dans la page Réseaux virtuels, sélectionnez + Créer.

  3. Sous l’onglet Général de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer nouveau.
    Entrez test-rg comme nom.
    Sélectionnez OK.
    Détails de l’instance
    Nom Entrez vnet-1.
    Région Sélectionnez USA Est.

    Capture d’écran de l’onglet Informations de base pour la création d’un réseau virtuel dans le portail Azure.

  4. Sélectionnez Suivant pour passer à l’onglet Sécurité.

  5. Dans la section Azure Bastion, sélectionnez Activer Bastion.

    Bastion utilise votre navigateur pour se connecter aux machines virtuelles de votre réseau virtuel via le protocole SSH (Secure Shell) ou le protocole RDP (Remote Desktop Protocol) à l’aide de leurs adresses IP privées. Les machines virtuelles ne requièrent pas d’adresse IP publique, de logiciel client ou de configuration spéciale. Pour plus d’informations, consultez Présentation d’Azure Bastion.

    Remarque

    Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.

  6. Dans Azure Bastion, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Nom d’hôte Azure Bastion Entrez bastion.
    Adresse IP publique Azure Bastion Sélectionnez Créer une adresse IP publique.
    Saisissez public-ip-bastion dans le champ Nom.
    Sélectionnez OK.

    Capture d’écran des options permettant d’activer un hôte Azure Bastion dans le cadre de la création d’un réseau virtuel dans le portail Azure.

  7. Sélectionnez Suivant pour passer à l’onglet Adresses IP.

  8. Dans la zone Espace d’adressage de Sous-réseaux, sélectionnez le sous-réseau par défaut.

  9. Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du sous-réseau
    Modèle de sous-réseau Conservez la valeur par défaut de Valeur par défaut.
    Nom Entrez subnet-1.
    Adresse de début Laissez la valeur par défaut sur 10.0.0.0.
    Taille du sous-réseau Conservez la valeur par défaut /24 (256 adresses).

    Capture d’écran des détails de configuration d’un sous-réseau.

  10. Sélectionnez Enregistrer.

  11. Sélectionnez Vérifier + créer en bas de la fenêtre. Quand la validation réussit, sélectionnez Créer.

Créez un compte de stockage.

Créez un compte Stockage Azure pour les étapes de cet article. Si vous avez déjà un compte de stockage, vous pouvez l’utiliser.

  1. Dans la zone de recherche située en haut du portail, entrez Compte de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

  2. Sélectionnez + Créer.

  3. Sous l’onglet Général de la page Créer un compte de stockage, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement Azure.
    Groupe de ressources Sélectionnez test-rg.
    Détails de l’instance
    Nom du compte de stockage Entrez storage1. Si le nom n’est pas disponible, entrez un nom unique.
    Emplacement Sélectionnez (États-Unis) USA Est 2.
    Performances Conservez la valeur par défaut Standard.
    Redondance Sélectionner Stockage localement redondant (LRS)

  4. Sélectionnez Révision.

  5. Sélectionnez Create (Créer).

Désactiver l’accès public au compte de stockage

Avant de créer le point de terminaison privé, il est recommandé de désactiver l’accès public au compte de stockage. Utilisez les étapes suivantes pour désactiver l’accès public au compte de stockage.

  1. Dans la zone de recherche située en haut du portail, entrez Compte de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

  2. Sélectionnez storage1 ou le nom de votre compte de stockage existant.

  3. Dans Sécurité et mise en réseau, sélectionnez Mise en réseau.

  4. Dans l’onglet Pare-feu et réseaux virtuels de l’accès au réseau public, sélectionnez Désactivé.

  5. Sélectionnez Enregistrer.

Créer un point de terminaison privé

  1. Dans la zone de recherche située en haut du portail, entrez Point de terminaison privé. Sélectionnez Points de terminaison privés.

  2. Sélectionnez + Créer dans Points de terminaison privés.

  3. Sous l’onglet Général de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg
    Détails de l’instance
    Nom Entrer point de terminaison-privé.
    Nom de l'interface réseau Conservez la valeur par défaut point de terminaison-privé-nic.
    Région Sélectionnez USA Est.

  4. Sélectionnez Suivant : Ressource.

  5. Dans le volet Ressource, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Méthode de connexion Conservez la valeur par défaut Se connecter à une ressource Azure dans mon répertoire.
    Abonnement Sélectionnez votre abonnement.
    Type de ressource Sélectionnez Microsoft.Storage/storageAccounts.
    Ressource Sélectionnez storage-1 ou votre compte de stockage.
    Sous-ressource cible Sélectionnez objet blob.

  6. Sélectionnez Suivant : réseau virtuel.

  7. Dans Réseau virtuel, entrez ou sélectionnez les informations suivantes.

    Paramètre Valeur
    Mise en réseau
    Réseau virtuel Sélectionnez vnet-1 (test-rg).
    Subnet Sélectionnez subnet-1.
    Stratégie réseau pour les points de terminaison privés Sélectionnez Modifier pour appliquer la stratégie réseau aux points de terminaison privés.
    Dans Modifier la stratégie réseau de sous-réseau, cochez la case en regard de Groupes de sécurité réseau et Tables de routage dans le menu déroulant Stratégies réseau pour tous les points de terminaison privés de ce sous-réseau .
    Sélectionnez Enregistrer.

    Pour plus d’informations, consultez Gestion des stratégies réseau des points de terminaison privés.
    Paramètre Valeur
    Configuration d’adresse IP privée Sélectionnez Allouer dynamiquement l’adresse IP.

    Capture d’écran de sélection d’adresse IP dynamique.

  8. Sélectionnez Suivant : DNS.

  9. Conservez les valeurs par défaut dans DNS. Sélectionnez Suivant : Balises, puis Suivant : Vérifier + créer.

  10. Sélectionnez Create (Créer).

Créer une machine virtuelle de test

La procédure suivante crée une machines virtuelles de test (VM) nommée vm-1 dans le réseau virtuel.

  1. Dans le portail, recherchez et sélectionnez Machines virtuelles.

  2. Dans Machines virtuelles, sélectionnez + Créer, puis Machine virtuelle Azure.

  3. Sous l’onglet Général de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Détails de l’instance
    Nom de la machine virtuelle Entrez vm-1.
    Région Sélectionnez USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Conservez la valeur par défaut Standard.
    Image Sélectionnez Windows Server 2022 Datacenter - x64 Gen2.
    Architecture de machine virtuelle Laissez la valeur par défaut x64.
    Taille Sélectionnez une taille.
    Compte administrateur
    Type d'authentification Sélectionnez Mot de passe.
    Nom d’utilisateur entrez azureuser.
    Mot de passe Entrez un mot de passe.
    Confirmer le mot de passe Entrez de nouveau le mot de passe.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.

  4. Sélectionnez l’onglet Réseau en haut de la page.

  5. Entrez ou sélectionnez les informations suivantes sous l’onglet Réseau :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez vnet-1.
    Subnet Sélectionnez subnet-1 (10.0.0.0/24).
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé.
    Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
    Entrez nsg-1 pour le nom.
    Pour le reste, laissez les valeurs par défaut et sélectionnez OK.

  6. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

Notes

Les machines virtuelles d’un réseau virtuel avec un hôte bastion n’ont pas besoin d’adresses IP publiques. Bastion fournit l’adresse IP publique et les machines virtuelles utilisent des adresses IP privées pour communiquer au sein du réseau. Vous pouvez supprimer les adresses IP publiques des machines virtuelles des réseaux virtuels hébergés par bastion. Pour plus d’informations, consultez Dissocier une adresse IP publique d’une machine virtuelle Azure.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Clé d’accès de stockage

La clé d’accès de stockage est nécessaire pour les étapes ultérieures. Accédez au compte de stockage que vous avez créé précédemment et copiez la chaîne de connexion avec la clé d’accès du compte de stockage.

  1. Dans la zone de recherche située en haut du portail, entrez Compte de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

  2. Sélectionnez le compte de stockage que vous avez créé au cours des étapes précédentes, ou votre compte de stockage existant.

  3. Dans la section Sécurité et réseau du compte de stockage, sélectionnez Clés d’accès.

  4. Sélectionnez Afficher, puis copiez la chaîne de connexion pour key1.

Ajouter un conteneur d’objets blob

  1. Dans la zone de recherche située en haut du portail, entrez Compte de stockage. Sélectionnez Comptes de stockage dans les résultats de la recherche.

  2. Sélectionnez le compte de stockage que vous avez créé dans les étapes précédentes.

  3. Dans la section Stockage des données, sélectionnez Conteneurs.

  4. Sélectionnez + Conteneur pour créer un conteneur.

  5. Entrez conteneur dans Nom et sélectionnez Privé (aucun accès anonyme) sous Niveau d’accès public.

  6. Sélectionnez Create (Créer).

Tester la connectivité au point de terminaison privé

Dans cette section, vous utilisez la machine virtuelle que vous avez créée aux étapes précédentes pour vous connecter au compte de stockage sur le point de terminaison privé avec Explorateur Stockage Microsoft Azure.

  1. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez vm-1.

  3. Dans Opérations, sélectionnez Bastion.

  4. Entrez le nom d’utilisateur et le mot de passe que vous avez utilisés lors de la création de la machine virtuelle.

  5. Sélectionnez Connecter.

  6. Ouvrez Windows PowerShell sur le serveur après vous être connecté.

  7. Entrez nslookup <storage-account-name>.blob.core.windows.net. Remplacez <storage-account-name> par le nom du compte de stockage que vous avez créé dans les étapes précédentes. L’exemple suivant montre la sortie de la commande.

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    storage1.privatelink.blob.core.windows.net
Address:  10.0.0.10
Aliases:  mystorageaccount.blob.core.windows.net

    Une adresse IP privée 10.0.0.10 est retournée pour le nom du compte de stockage. Cette adresse se trouve dans le sous-réseau subnet-1 du réseau virtuel vnet-1 que vous avez créé précédemment.

  8. Installez l’Explorateur Stockage Microsoft Azure sur la machine virtuelle.

  9. Sélectionnez Terminer après l’installation de l’Explorateur Stockage Microsoft Azure. Laissez la case cochée pour ouvrir l’application.

  10. Sélectionnez le symbole de la prise d’alimentation pour ouvrir la boîte de dialogue Sélectionner une ressource de la barre d’outils de gauche.

  11. Sous Sélectionner une ressource, sélectionnez Compte de stockage ou service pour ajouter une connexion dans Explorateur Stockage Microsoft Azure au compte de stockage que vous avez créé aux étapes précédentes.

  12. Dans l’écran Sélectionner une méthode de connexion, sélectionnez Chaîne de connexion, puis Suivant.

  13. Dans la zone sous Chaîne de connexion, collez la chaîne de connexion du compte de stockage que vous avez copiée dans les étapes précédentes. Le nom du compte de stockage est renseigné automatiquement dans la zone sous Nom d’affichage.

  14. Sélectionnez Suivant.

  15. Vérifiez que les paramètres sont corrects dans Résumé.

  16. Sélectionnez Se connecter.

  17. Sélectionnez votre compte de stockage sous Comptes de stockage dans le menu de l’explorateur.

  18. Développez le compte de stockage, puis Conteneurs d’objets blob.

  19. Le conteneur conteneur que vous avez créé précédemment s’affiche.

  20. Fermez la connexion à vm-1.

Nettoyer les ressources

Lorsque vous avez fini d’utiliser les ressources créées, vous pouvez supprimer le groupe de ressources et toutes ses ressources :

  1. Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.

  2. Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.

  3. Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.

  4. Entrez test-rg dans Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous avez appris à créer :

  • Un réseau virtuel et un hôte bastion.

  • Une machine virtuelle.

  • Un compte de stockage et un conteneur.

Découvrez comment vous connecter à un compte Azure Cosmos DB à l’aide d’un point de terminaison privé Azure :

Se connecter à Azure Cosmos DB à l’aide d’un point de terminaison privé