Zelfstudie: Netwerktoegang tot PaaS-resources beperken met service-eindpunten voor een virtueel netwerk met behulp van de Azure-portal

  • Artikel
  • 11 minuten om te lezen

Met service-eindpunten voor virtuele netwerken kunt u de netwerktoegang tot sommige Azure-servicebronnen beperken tot een subnet van een virtueel netwerk. U kunt ook internettoegang tot de resources verwijderen. Service-eindpunten zorgen voor een rechtstreekse verbinding van uw virtuele netwerk met ondersteunde Azure-services, zodat u de privéadresruimte van uw virtuele netwerk kunt gebruiken voor toegang tot de Azure-services. Verkeer dat bestemd is voor Azure-resources via de service-eindpunten blijft altijd op het Microsoft Azure-backbone-netwerk. In deze zelfstudie leert u het volgende:

  • Een virtueel netwerk maken met één subnet
  • Een subnet toevoegen en een service-eindpunt inschakelen
  • Een Azure-resource maken en alleen toegang ertoe toestaan vanaf een subnet
  • Een virtuele machine (VM) implementeren op elk subnet
  • Toegang tot een resource vanaf een subnet bevestigen
  • Bevestigen dat toegang wordt geweigerd aan een resource vanaf een subnet en internet

U kunt deze zelfstudie desgewenst volgen met behulp van de Azure CLI of Azure PowerShell.

Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Een virtueel netwerk maken

  1. Meld u aan bij de Azure-portal.

  2. Selecteer + Een resource maken in de linkerbovenhoek van de Azure Portal. Zoek naar Virtual Network en selecteer vervolgens Maken.

    Schermopname van het zoeken naar een virtueel netwerk op de pagina Een resource maken.

  3. Voer op het tabblad Basisinformatie de volgende gegevens in en selecteer volgende: IP-adressen >.

    Instelling Waarde
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer Nieuwe maken en voer myResourceGroup in.
    Naam Voer myVirtualNetwork in
    Regio Selecteer (US) VS - oost

    Schermopname van het tabblad Basisinformatie voor het maken van een virtueel netwerk.

  4. Selecteer op het tabblad IP-adressen de volgende IP-adresinstellingen en selecteer vervolgens Controleren en maken.

    Instelling Waarde
    IPv4-adresruimte Als standaard ingesteld laten.
    Subnetnaam Selecteer standaard en wijzig de naam van het subnet in Openbaar.
    Subnetadresbereik Als standaard ingesteld laten.

    Schermopname van het tabblad IP-adressen voor het maken van een virtueel netwerk.

  5. Als de validatiecontroles zijn geslaagd, selecteert u Maken.

  6. Wacht tot de implementatie is voltooien en selecteer vervolgens Ga naar resource of ga verder met de volgende sectie.

Een service-eindpunt inschakelen

Service-eindpunten worden ingeschakeld per service, per subnet. Een subnet maken en een service-eindpunt voor het subnet inschakelen:

  1. Als u nog niet op de resourcepagina van het virtuele netwerk bent, kunt u zoeken naar het nieuwe netwerk in het vak bovenaan de portal. Voer myVirtualNetwork in en selecteer deze in de lijst.

  2. Selecteer Subnetten onder Instellingen en selecteer vervolgens + Subnet, zoals wordt weergegeven:

    Schermopname van het toevoegen van een subnet aan een bestaand virtueel netwerk.

  3. Selecteer op de pagina Subnet toevoegen de volgende gegevens of voer deze in en selecteer vervolgens Opslaan:

    Instelling Waarde
    Naam Persoonlijk
    Subnetadresbereik Laat de standaardwaarden staan
    Service-eindpunten Selecteer Microsoft.Storage
    Beleid voor service-eindpunten Gebruik de standaardinstelling. 0 geselecteerd.

    Schermopname van een subnetpagina toevoegen met service-eindpunten geconfigureerd.

Waarschuwing

Zie Subnetinstellingen wijzigen voordat u een servicepunt voor een bestaand subnet met resources inschakelt.

Netwerktoegang voor een subnet beperken

Standaard kunnen alle exemplaren van virtuele machines in een subnet communiceren met alle resources. U kunt de communicatie naar en van alle resources in een subnet beperken door een netwerkbeveiligingsgroep te maken en deze aan het subnet te koppelen:

  1. Zoek in het zoekvak bovenaan de Azure Portal naar Netwerkbeveiligingsgroepen.

    Schermopname van het zoeken naar netwerkbeveiligingsgroepen.

  2. Selecteer op de pagina Netwerkbeveiligingsgroepen de optie + Maken.

    Schermopname van de landingspagina voor netwerkbeveiligingsgroepen.

  3. Voer de volgende gegevens in of selecteer deze:

    Instelling Waarde
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer myResourceGroup in de lijst
    Naam Voer myNsgPrivate in
    Locatie Selecteer VS - oost

  4. Selecteer Controleren en maken en wanneer de validatiecontrole is geslaagd, selecteert u Maken.

    Schermopname van de pagina Een netwerkbeveiligingsgroep maken.

  5. Nadat de netwerkbeveiligingsgroep is gemaakt, selecteert u Ga naar resource of zoekt u naar myNsgPrivate bovenaan de Azure Portal.

  6. Selecteer Uitgaande beveiligingsregels onder Instellingen selecteer vervolgens + Toevoegen.

    Schermopname van het toevoegen van een uitgaande beveiligingsregel.

  7. Maak een regel die uitgaande communicatie naar de Azure Storage-service toestaat. Voer de volgende gegevens in of selecteer deze, en selecteer Toevoegen:

    Instelling Waarde
    Bron Selecteer VirtualNetwork
    Poortbereiken van bron *
    Doel Selecteer Servicetag
    Doelservicetag Selecteer Storage
    Service Laat de standaardwaarde Aangepast staan.
    Poortbereiken van doel Wijzig in 445. Het SMB-protocol wordt gebruikt om verbinding te maken met een bestands share die in een latere stap is gemaakt.
    Protocol Elk
    Actie Toestaan
    Prioriteit 100
    Naam Wijzig de naam in Allow-Storage-All

    Schermopname van het maken van een uitgaande beveiliging voor toegang tot opslag.

  8. Maak een uitgaande beveiligingsregel die communicatie naar internet weigert. Deze regel overschrijft een standaardregel in alle netwerkbeveiligingsgroepen waarmee uitgaande internetcommunicatie mogelijk is. Voltooi de bovenstaande stappen 6-9 met behulp van de volgende waarden en selecteer vervolgens Toevoegen:

    Instelling Waarde
    Bron Selecteer VirtualNetwork
    Poortbereiken van bron *
    Doel Selecteer Servicetag
    Doelservicetag Selecteer Internet
    Service Laat de standaardwaarde Aangepast staan.
    Poortbereiken van doel *
    Protocol Elk
    Actie Wijzig de standaardwaarde in Weigeren.
    Prioriteit 110
    Name Wijzig in Deny-Internet-All

    Schermopname van het maken van een uitgaande beveiliging om internettoegang te blokkeren.

  9. Maak een inkomende beveiligingsregel waarmee RDP-verkeer (Remote Desktop Protocol) naar het subnet vanaf elke locatie wordt toegestaan. De regel overschrijft een standaardbeveiligingsregel waardoor al het inkomende verkeer van internet wordt geweigerd. Externe bureaublad-verbindingen worden toegestaan voor het subnet zodat de verbinding in een later stadium kan worden getest. Selecteer Inkomende beveiligingsregels onder Instellingen selecteer vervolgens + Toevoegen.

    Schermopname van het toevoegen van een beveiligingsregel voor binnenkomende gegevens.

  10. Voer de volgende waarden in of selecteer deze en selecteer vervolgens Toevoegen.

    Instelling Waarde
    Bron Elk
    Poortbereiken van bron *
    Doel Selecteer VirtualNetwork
    Poortbereiken van doel Wijzig in 3389
    Protocol Elk
    Actie Toestaan
    Prioriteit 120
    Name Wijzig in Allow-RDP-All

    Schermopname van het maken van een regel voor binnenkomende extern bureaublad toestaan.

    Waarschuwing

    RDP-poort 3389 wordt beschikbaar voor internet. Dit wordt alleen aanbevolen voor testen. Voor Productieomgevingen raden we u aan een VPN-verbinding of particuliere verbinding te gebruiken.

  11. Selecteer Subnetten onder Instellingen selecteer vervolgens + Koppelen.

    Schermopname van de subnetverbindingspagina voor netwerkbeveiligingsgroepen.

  12. Selecteer myVirtualNetwork onder Virtual Network selecteer vervolgens Privé onder Subnetten. Selecteer OK om de netwerkbeveiligingsgroep te koppelen aan het subnet select.

    Schermopname van het koppelen van een netwerkbeveiligingsgroep aan een privésubnet.

Netwerktoegang tot een resource beperken

De stappen die vereist zijn om netwerktoegang te beperken tot resources die zijn gemaakt met Azure-services waarvoor service-eindpunten zijn ingeschakeld, verschillen per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van deze zelfstudie bevat stappen voor het beperken van netwerktoegang voor Azure Storage account, als voorbeeld.

Create a storage account

  1. Selecteer + Een resource maken in de linkerbovenhoek van Azure Portal.

  2. Voer in de zoekbalk in 'Opslagaccount', en selecteer het in de vervolgkeuzelijst. Selecteer vervolgens Maken.

  3. Voer de volgende informatie in:

    Instelling Waarde
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer myResourceGroup.
    Naam van het opslagaccount Voer een naam in die uniek is op alle Azure-locaties. De naam moet tussen de 3 en 24 tekens lang zijn, met alleen cijfers en kleine letters.
    Regio Selecteer (US) VS - oost
    Prestaties Standard
    Redundantie Lokaal redundante opslag (LRS)

    Schermopname van het maken van een nieuw opslagaccount.

  4. Selecteer Maken en controleren en wanneer de validatiecontroles zijn geslaagd, selecteert u Maken.

    Notitie

    Het uitvoeren van de implementatie kan enkele minuten duren.

  5. Nadat het opslagaccount is gemaakt, selecteert u Naar de resource gaan.

Een bestandsshare maken in het opslagaccount

  1. Selecteer Bestands shares onder Gegevensopslag en selecteer vervolgens + Bestands share.

    Schermopname van de pagina bestands share in een opslagaccount.

  2. Voer de volgende waarden in of stel deze in voor de bestands share en selecteer vervolgens Maken:

    Instelling Waarde
    Naam my-file-share
    Quota Selecteer Instellen op maximum.
    Laag Laat de standaardwaarde Transaction optimized staan.

    Schermopname van de pagina instellingen voor het maken van een nieuwe bestands share.

  3. De nieuwe bestands share moet worden weergegeven op de pagina van de bestands share, als u niet de knop Vernieuwen bovenaan de pagina selecteert.

Netwerktoegang tot een subnet beperken

Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk, inclusief internet. U kunt de netwerktoegang vanaf internet en voor alle andere subnetten in alle virtuele netwerken beperken. (Behalve voor het Privé subnet in het virtuele netwerk myVirtualNetwork.) Netwerktoegang tot een subnet beperken:

  1. Selecteer Netwerken onder Instellingen voor uw (unieke naam) opslagaccount.

  2. Selecteer Toegang toestaan vanuit geselecteerde netwerken _ en selecteer vervolgens _+ Bestaand virtueel netwerk toevoegen**.

    Schermopname van de pagina netwerkinstellingen van het opslagaccount.

  3. Selecteer onder Netwerken toevoegen de volgende waarden en selecteer Toevoegen:

    Instelling Waarde
    Abonnement Selecteer uw abonnement
    Virtuele netwerken myVirtualNetwork
    Subnetten Privé

    Schermopname van de pagina Virtueel netwerk toevoegen aan opslagaccount.

  4. Selecteer de knop Opslaan om de configuraties van het virtuele netwerk op te slaan.

  5. Selecteer Toegangssleutels onder Beveiliging en netwerken voor het opslagaccount en selecteer Sleutels tonen. Noteer de waarde voor key1 die in een latere stap moet worden gebruikt bij het toewijzen van de bestands share in een VM.

    Schermopname van opslagaccountsleutel en verbindingsreeksen.

Virtuele machines maken

Implementeer een VM in elk subnet om de netwerktoegang tot een opslagaccount te testen.

De eerste virtuele machine maken

  1. Selecteer op Azure Portal pagina + Een resource maken.

  2. Selecteer Compute en vervolgens Maken onder Virtuele machine.

  3. Voer op het tabblad Basisinformatie de volgende gegevens in of selecteer deze:

    Instelling Waarde
    Abonnement Selecteer uw abonnement
    Resourcegroep Selecteer myResourceGroup, die eerder is gemaakt.
    Naam van de virtuele machine Voer myVmPublic in
    Regio (US) US - oost
    Beschikbaarheidsopties Beschikbaarheidszone
    Beschikbaarheidszone 1
    Installatiekopie Selecteer een besturingssysteemafbeelding. Voor deze VM Windows Server 2019 Datacenter - Gen1 geselecteerd.
    Grootte Selecteer de grootte voor het VM-exemplaar dat u wilt gebruiken
    Gebruikersnaam Voer een gebruikersnaam naar keuze in.
    Wachtwoord Voer een wachtwoord naar keuze in. Het wachtwoord moet minstens 12 tekens lang zijn en moet voldoen aan de gedefinieerde complexiteitsvereisten.
    Openbare poorten voor inkomend verkeer Geselecteerde poorten toestaan
    Binnenkomende poorten selecteren Laat de standaardwaarde ingesteld op RDP (3389)

    Schermopname van instellingen voor het maken van openbare virtuele machines.

  4. Voer op het tabblad Netwerken de volgende gegevens in of selecteer deze:

    Instelling Waarde
    Virtual Network Selecteer myVirtualNetwork.
    Subnet Selecteer Openbaar.
    NIC-netwerkbeveiligingsgroep Selecteer Geavanceerd. De portal maakt automatisch een netwerkbeveiligingsgroep voor u die poort 3389 toestaat. U hebt deze poort geopend nodig om in een latere stap verbinding te maken met de virtuele machine.

    Schermopname van netwerkinstellingen voor openbare virtuele machines maken.

  5. Selecteer Controleren en maken en vervolgens Maken. Wacht tot de implementatie is voltooid.

  6. Selecteer Ga naar resource of open de pagina Startpagina > Virtuele machines en selecteer de VM die u zojuist hebt gemaakt myVmPublic, die moet worden gestart.

De tweede virtuele machine maken

  1. Herhaal stap 1-5 om een tweede virtuele machine te maken. In stap 3 noemt u de virtuele machine myVmPrivate en stelt u de NIC-netwerkbeveiligingsgroep in op Geen. Selecteer in stap 4 het privésubnet.

    Schermopname van netwerkinstellingen voor privé-virtuele machines maken.

  2. Selecteer Controleren en maken en vervolgens Maken. Wacht tot de implementatie is voltooid.

    Waarschuwing

    Ga pas verder met de volgende stap als de implementatie is voltooid.

  3. Selecteer Ga naar resource of open de pagina Startpagina > Virtuele machines en selecteer de VM die u zojuist hebt gemaakt myVmPrivate, die moet worden gestart.

Toegang tot opslagaccount bevestigen

  1. Zodra de VM myVmPrivate is gemaakt, gaat u naar de overzichtspagina van de virtuele machine. Verbinding maken naar de VM door de knop Verbinding maken selecteren en vervolgens RDP te selecteren in de vervolgkeuzekeuze.

    Schermopname van de knop Verbinding maken voor persoonlijke virtuele machine.

  2. Selecteer RDP-bestand downloaden om het extern bureaublad-bestand naar uw computer te downloaden.

    Schermopname van het downloaden van een RDP-bestand voor een persoonlijke virtuele machine.

  3. Open het gedownloade RDP-bestand. Selecteer Verbinding maken wanneer hierom wordt gevraagd.

    Schermopname van het verbindingsscherm voor de persoonlijke virtuele machine.

  4. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Mogelijk moet u Meer opties en vervolgens Een ander account gebruiken selecteren om de aanmeldingsgegevens op te geven die u hebt ingevoerd tijdens het maken van de VM. Voer voor het e-mailveld de referenties Beheerdersaccount: gebruikersnaam in die u eerder hebt opgegeven. Selecteer OK om u aan te melden bij de VM.

    Schermopname van het referentiescherm voor de persoonlijke virtuele machine.

    Notitie

    Er wordt mogelijk een certificaatwaarschuwing weergegeven tijdens het aanmelden. Als u de waarschuwing ontvangt, selecteert u Ja of Doorgaan om door te gaan met de verbinding.

  5. Nadat u bent aangemeld, opent u Windows PowerShell. Wijs met behulp van het onderstaande script de Azure-bestandsshare toe aan station Z, met behulp van PowerShell. Vervang en beide variabelen door waarden die u eerder hebt opgegeven en noteert in de stappen <storage-account-key> <storage-account-name> Een opslagaccount maken.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential

    PowerShell retourneert uitvoer die er ongeveer zo uitziet als in dit voorbeeld:

    Name        Used (GB)     Free (GB) Provider      Root
----        ---------     --------- --------      ----
Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...

    De Azure-bestandsshare is toegewezen aan station Z.

  6. Sluit de externe bureaubladsessie naar de VM myVmPrivate.

Bevestigen dat toegang tot opslagaccount wordt geweigerd

Vanuit myVmPublic:

  1. Voer in het vak Resources, services en documenten zoeken bovenaan de portal myVmPublic in. Wanneer myVmPublic wordt weergegeven in de zoekresultaten, selecteert u deze.

  2. Herhaal de stappen 1-5 hierboven in Toegang tot opslagaccount bevestigen voor de VM myVmPublic.

    Na enkele ogenblikken ontvangt u een fout New-PSDrive : Access is denied. De toegang wordt geweigerd omdat de VM myVmPublic is geïmplementeerd in het Openbare subnet. Voor het openbare subnet is geen service-eindpunt ingeschakeld voor Azure Storage. Het opslagaccount staat alleen netwerktoegang toe vanuit het Privé-subnet, niet het Openbare subnet.

    New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
    + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand

  3. Sluit de externe bureaubladsessie naar de VM myVmPublic.

Vanaf een lokale computer:

  1. Ga in Azure Portal naar het opslagaccount met de unieke naam dat u eerder hebt gemaakt. Bijvoorbeeld mystorage007.

  2. Selecteer Bestands shares onder Gegevensopslag en selecteer vervolgens de my-file-share die u eerder hebt gemaakt.

  3. U ontvangt het volgende foutbericht:

    Schermopname van het foutbericht Toegang geweigerd.

Notitie

De toegang wordt geweigerd omdat uw computer zich niet in het privésubnet van het virtuele netwerk MyVirtualNetwork.

Resources opschonen

Wanneer u deze niet langer nodig hebt, verwijdert u de resourcegroep en alle resources die deze bevat:

  1. Voer myResourceGroup in het vak Zoeken bovenaan de portal in. Wanneer u myResourceGroup ziet in de zoekresultaten, selecteert u deze.

  2. Selecteer Resourcegroep verwijderen.

  3. Voer myResourceGroup in voor TYP DE RESOURCEGROEPNAAM: en selecteer Verwijderen.

Volgende stappen

In deze zelfstudie hebt u een service-eindpunt voor een subnet van een virtueel netwerk ingeschakeld. U hebt geleerd dat u service-eindpunten kunt inschakelen voor vanaf meerdere Azure-services geïmplementeerde resources. U hebt een Azure Storage gemaakt en de netwerktoegang tot het opslagaccount beperkt tot alleen resources binnen een subnet van een virtueel netwerk. Zie voor meer informatie over service-eindpunten Overzicht voor service-eindpunten en Subnetten beheren.

Als u meerdere virtuele netwerken in uw account hebt, wilt u mogelijk verbinding maken tussen deze netwerken, zodat resources met elkaar kunnen communiceren. Ga verder met de volgende zelfstudie om te leren hoe u virtuele netwerken met elkaar kunt verbinden.

Virtuele netwerken met elkaar verbinden