Samouczek: ograniczanie dostępu sieciowego do zasobów PaaS za pomocą punktów końcowych usługi dla sieci wirtualnej z użyciem witryny Azure Portal
Punkty końcowe usługi dla sieci wirtualnej umożliwiają ograniczenie dostępu sieciowego do niektórych zasobów usługi platformy Azure do podsieci sieci wirtualnej. Możesz również uniemożliwić dostęp internetowy do zasobów. Punkty końcowe usługi zapewniają bezpośrednie połączenie z sieci wirtualnej z obsługiwanymi usługami platformy Azure, umożliwiając korzystanie z prywatnej przestrzeni adresowej sieci wirtualnej w celu uzyskiwania dostępu do usług platformy Azure. Ruch kierowany do zasobów platformy Azure za pośrednictwem punktów końcowych usługi zawsze pozostaje w sieci szkieletowej platformy Microsoft Azure.
Ten samouczek zawiera informacje na temat wykonywania następujących czynności:
- Tworzenie sieci wirtualnej z jedną podsiecią
- Dodawanie podsieci i włączanie punktu końcowego usługi
- Tworzenie zasobów platformy Azure i zezwalanie na dostęp sieciowy do nich tylko z podsieci
- Wdrażanie maszyny wirtualnej w każdej podsieci
- Potwierdzanie dostępu do zasobu z podsieci
- Potwierdzanie zablokowania dostępu do zasobu z podsieci i z Internetu
W tym samouczku jest używana Azure Portal. Można go również ukończyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
- Subskrypcja platformy Azure
Logowanie do platformy Azure
Zaloguj się w witrynie Azure Portal.
Tworzenie sieci wirtualnej
Z menu Azure Portal wybierz pozycję + Utwórz zasób.
Wyszukaj Virtual Network, a następnie wybierz pozycję Utwórz.
Na karcie Podstawy wprowadź następujące informacje, a następnie wybierz pozycję Dalej: Adresy >IP.
Ustawienie Wartość Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję Utwórz nową, a następnie wprowadź nazwę myResourceGroup. Nazwa Wpisz myVirtualNetwork. Region (Region) Wybierz pozycję Wschodnie stany USA 
Na karcie Adresy IP wybierz następujące ustawienia adresu IP, a następnie wybierz pozycję Przejrzyj i utwórz.
Ustawienie Wartość Przestrzeń adresowa IPv4 Pozostaw wartość domyślną. Nazwa podsieci Wybierz wartość domyślną i zmień nazwę podsieci na "Publiczna". Zakres adresów podsieci Pozostaw wartość domyślną. 
Jeśli sprawdzanie poprawności zakończy się powodzeniem, wybierz pozycję Utwórz.
Poczekaj na zakończenie wdrożenia, a następnie wybierz pozycję Przejdź do zasobu lub przejdź do następnej sekcji.
Włączanie punktu końcowego usługi
Punkty końcowe usługi są włączane dla poszczególnych usług i podsieci. Aby utworzyć podsieć i włączyć punkt końcowy usługi dla podsieci:
Jeśli nie jesteś jeszcze na stronie zasobów sieci wirtualnej, możesz wyszukać nowo utworzoną sieć wirtualną w polu w górnej części portalu. Wprowadź ciąg myVirtualNetwork i wybierz go z listy.
Wybierz pozycję Podsieci w obszarze Ustawienia, a następnie wybierz pozycję + Podsieć, jak pokazano poniżej:
Na stronie Dodawanie podsieci wprowadź lub wybierz następujące informacje, a następnie wybierz pozycję Zapisz:
Ustawienie Wartość Nazwa Prywatne Zakres adresów podsieci Pozostaw wartość domyślną Punkty końcowe usługi Wybierz pozycję Microsoft.Storage Zasady punktów końcowych usługi Pozostaw wartość domyślną. Wybrano 0. 
Przestroga
Przed włączeniem punktu końcowego usługi dla istniejącej podsieci zawierającej zasoby zapoznaj się z sekcją Zmiana ustawień podsieci.
Ograniczanie dostępu sieciowego dla podsieci
Domyślnie wszystkie wystąpienia maszyn wirtualnych w podsieci mogą komunikować się z dowolnymi zasobami. Komunikację z wszystkimi zasobami w podsieci można ograniczyć, tworząc sieciową grupę zabezpieczeń i kojarząc ją z podsiecią:
W polu wyszukiwania w górnej części Azure Portal wyszukaj pozycję Sieciowe grupy zabezpieczeń.
Na stronie Sieciowe grupy zabezpieczeń wybierz pozycję + Utwórz.
Wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Subskrypcja Wybierz swoją subskrypcję Grupa zasobów Wybierz pozycję myResourceGroup z listy Nazwa Wprowadź myNsgPrivate Lokalizacja Wybierz pozycję Wschodnie stany USA Wybierz pozycję Przejrzyj i utwórz, a po zakończeniu sprawdzania poprawności wybierz pozycję Utwórz.
Po utworzeniu sieciowej grupy zabezpieczeń wybierz pozycję Przejdź do zasobu lub wyszukaj ciąg myNsgPrivate w górnej części Azure Portal.
Wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego w obszarze Ustawienia , a następnie wybierz pozycję + Dodaj.
Utwórz regułę, która umożliwia komunikację wychodzącą do usługi Azure Storage. Wprowadź lub wybierz następujące informacje, a następnie wybierz polecenie Dodaj:
Ustawienie Wartość Źródło Wybieranie tagu usługi Tag usługi źródłowej Wybierz pozycję VirtualNetwork Zakresy portów źródłowych * Miejsce docelowe Wybieranie tagu usługi Docelowy tag usługi Wybierz pozycję Magazyn Usługa Pozostaw wartość domyślną jako Niestandardowa. Zakresy portów docelowych Zmień na 445. Protokół SMB służy do nawiązywania połączenia z udziałem plików utworzonym w późniejszym kroku. Protokół Dowolny Akcja Zezwalaj Priorytet 100 Nazwa Zmień nazwę na Allow-Storage-All 
Utwórz kolejną regułę zabezpieczeń dla ruchu wychodzącego, która nie zezwala na komunikację z Internetem. Ta reguła zastępuje regułę domyślną we wszystkich grupach zabezpieczeń sieci, umożliwiającą wychodzącą komunikacja internetową. Wykonaj kroki 6–9 z powyższych, używając następujących wartości, a następnie wybierz pozycję Dodaj:
Ustawienie Wartość Źródło Wybieranie tagu usługi Tag usługi źródłowej Wybierz pozycję VirtualNetwork Zakresy portów źródłowych * Miejsce docelowe Wybieranie tagu usługi Docelowy tag usługi Wybierz internet Usługa Pozostaw wartość domyślną jako Niestandardowa. Zakresy portów docelowych * Protokół Dowolny Akcja Zmień wartość domyślną na Odmów. Priorytet 110 Nazwa Zmień na Deny-Internet-All 
Utwórz regułę zabezpieczeń dla ruchu przychodzącego , która zezwala na ruch protokołu RDP (Remote Desktop Protocol) do podsieci z dowolnego miejsca. Reguła zastępuje domyślną regułę zabezpieczeń, która zakazuje całego ruchu przychodzącego z Internetu. Połączenia pulpitu zdalnego są dozwolone do podsieci, aby później można było przetestować łączność. Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego w obszarze Ustawienia , a następnie wybierz pozycję + Dodaj.
Wprowadź lub wybierz następujące wartości, a następnie wybierz pozycję Dodaj.
Ustawienie Wartość Źródło Dowolne Zakresy portów źródłowych * Miejsce docelowe Wybieranie tagu usługi Docelowy tag usługi Wybierz pozycję VirtualNetwork Usługa Pozostaw wartość domyślną jako Niestandardowa. Zakresy portów docelowych Zmiana na 3389 Protokół Dowolny Akcja Zezwalaj Priorytet 120 Nazwa Zmień na Allow-RDP-All 
Ostrzeżenie
Port RDP 3389 jest uwidoczniony w Internecie. Jest to zalecane tylko do testowania. W przypadku środowisk produkcyjnych zalecamy użycie sieci VPN lub połączenia prywatnego.
Wybierz pozycję Podsieci w obszarze Ustawienia , a następnie wybierz pozycję + Skojarz.
Wybierz pozycję myVirtualNetwork w obszarze Virtual Network, a następnie wybierz pozycję Prywatna w obszarze Podsieci. Wybierz przycisk OK , aby skojarzyć sieciową grupę zabezpieczeń z wybraną podsiecią.
Ograniczanie dostępu sieciowego do zasobu
Kroki wymagane do ograniczenia dostępu sieciowego do zasobów utworzonych za pośrednictwem usług platformy Azure, które są włączone dla punktów końcowych usługi, różnią się w zależności od usług. Zobacz dokumentację poszczególnych usług, aby poznać konkretne kroki dla każdej usługi. W pozostałej części tego samouczka przedstawiono kroki ograniczania dostępu do sieci dla konta usługi Azure Storage, na przykład.
Tworzenie konta magazynu
W lewym górnym rogu witryny Azure Portal wybierz pozycję + Utwórz zasób.
Wprowadź ciąg "Konto magazynu" na pasku wyszukiwania i wybierz je z menu rozwijanego. Następnie wybierz pozycję Utwórz.
Wprowadź następujące informacje:
Ustawienie Wartość Subskrypcja Wybierz swoją subskrypcję Grupa zasobów Wybierz pozycję myResourceGroup Nazwa konta magazynu Wprowadź unikatową nazwę we wszystkich lokalizacjach platformy Azure. Nazwa musi mieć długość od 3 do 24 znaków, używając tylko cyfr i małych liter. Region (Region) Wybierz (STANY USA) Wschodnie stany USA Wydajność Standardowa Nadmiarowość Magazyn lokalnie nadmiarowy (LRS) 
Wybierz pozycję Utwórz i przejrzyj, a po zakończeniu sprawdzania poprawności wybierz pozycję Utwórz.
Uwaga
Ukończenie wdrożenia może potrwać kilka minut.
Po utworzeniu konta magazynu wybierz pozycję Przejdź do zasobu.
Tworzenie udziału plików w ramach konta magazynu
Wybierz pozycję Udziały plików w obszarze Magazyn danych, a następnie wybierz pozycję + Udział plików.
Wprowadź lub ustaw następujące wartości dla udziału plików, a następnie wybierz pozycję Utwórz:
Ustawienie Wartość Nazwa mój udział plików limit przydziału Wybierz pozycję Ustaw na wartość maksymalną. Warstwa Pozostaw wartość domyślną, Optymalizacja transakcji. 
Nowy udział plików powinien pojawić się na stronie udziału plików, jeśli nie wybierze przycisku Odśwież w górnej części strony.
Ograniczanie dostępu sieciowego do podsieci
Domyślnie konta magazynu akceptują połączenia sieciowe od klientów znajdujących się w dowolnej sieci, w tym w Internecie. Dostęp sieciowy z Internetu można ograniczyć i wszystkie inne podsieci we wszystkich sieciach wirtualnych (z wyjątkiem podsieci prywatnej w sieci wirtualnej myVirtualNetwork ). Aby ograniczyć dostęp sieciowy do podsieci:
Wybierz pozycję Sieć w obszarze Ustawienia dla konta magazynu (unikatowo nazwanego).
Wybierz pozycję Zezwalaj na dostęp z wybranych sieci , a następnie wybierz pozycję + Dodaj istniejącą sieć wirtualną.
W obszarze Dodaj sieci wybierz następujące wartości, a następnie wybierz pozycję Dodaj:
Ustawienie Wartość Subskrypcja Wybierz swoją subskrypcję Sieci wirtualne myVirtualNetwork Podsieci Prywatne 
Wybierz przycisk Zapisz , aby zapisać konfiguracje sieci wirtualnej.
Wybierz pozycję Klucze dostępu w obszarze Zabezpieczenia i sieć dla konta magazynu i wybierz pozycję Pokaż klucze. Zanotuj wartość klucza key1 do użycia w późniejszym kroku podczas mapowania udziału plików na maszynie wirtualnej.
Tworzenie maszyn wirtualnych
Aby przetestować dostęp sieciowy do konta magazynu, należy wdrożyć maszynę wirtualną w każdej podsieci.
Tworzenie pierwszej maszyny wirtualnej
W Azure Portal wybierz pozycję + Utwórz zasób.
Wybierz pozycję Obliczenia, a następnie pozycję Utwórz w obszarze Maszyna wirtualna.
Na karcie Podstawowe wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Subskrypcja Wybierz swoją subskrypcję Grupa zasobów Wybierz pozycję myResourceGroup, która została utworzona wcześniej. Nazwa maszyny wirtualnej Wprowadź ciąg myVmPublic Region (Region) (USA) Wschodnie stany USA Opcje dostępności Strefa dostępności Strefa dostępności 1 Obraz Wybierz obraz systemu operacyjnego. Dla tej maszyny wirtualnej wybrano pozycję Windows Server 2019 Datacenter — Gen1 . Rozmiar Wybierz rozmiar wystąpienia maszyny wirtualnej, którego chcesz użyć Nazwa użytkownika Wprowadź wybraną nazwę użytkownika. Hasło Wprowadź wybrane hasło. Hasło musi mieć długość co najmniej 12 znaków i spełniać zdefiniowane wymagania dotyczące złożoności. Publiczne porty wejściowe Zezwalaj na wybrane porty Wybierz porty wejściowe Pozostaw wartość domyślną ustawioną na RDP (3389) 
Na karcie Sieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Virtual Network Wybierz pozycję myVirtualNetwork. Podsieć Wybierz pozycję Publiczna. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz pozycję Zaawansowane. Portal automatycznie tworzy sieciową grupę zabezpieczeń, która zezwala na port 3389. Ten port będzie potrzebny do nawiązania połączenia z maszyną wirtualną w późniejszym kroku. 
Wybierz pozycję Przejrzyj i utwórz, a następnie utwórz i poczekaj na zakończenie wdrożenia.
Wybierz pozycję Przejdź do zasobu lub otwórz stronę Maszyny > wirtualne główne, a następnie wybierz właśnie utworzoną maszynę wirtualną myVmPublic, która powinna zostać uruchomiona.
Tworzenie drugiej maszyny wirtualnej
Powtórz kroki od 1 do 5, aby utworzyć drugą maszynę wirtualną. W kroku 3 nadaj maszynie wirtualnej nazwę myVmPrivate i ustaw sieciową grupę zabezpieczeń karty sieciowej na Wartość Brak. W kroku 4 wybierz podsieć Prywatna .
Wybierz pozycję Przejrzyj i utwórz, a następnie utwórz i poczekaj na zakończenie wdrożenia.
Ostrzeżenie
Nie należy przechodzić do następnego kroku, dopóki wdrożenie nie zostanie ukończone.
Wybierz pozycję Przejdź do zasobu lub otwórz stronę Maszyny > wirtualne główne, a następnie wybierz właśnie utworzoną maszynę wirtualną myVmPrivate, która powinna zostać uruchomiona.
Potwierdzanie dostępu do konta magazynu
Po utworzeniu maszyny wirtualnej myVmPrivate przejdź do strony przeglądu maszyny wirtualnej. Połącz się z maszyną wirtualną, wybierając przycisk Połącz , a następnie z listy rozwijanej wybierz pozycję RDP .
Wybierz pozycję Pobierz plik RDP , aby pobrać plik pulpitu zdalnego na komputer.
Otwórz pobrany plik rdp. Po wyświetleniu monitu wybierz pozycję Połącz.
Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej. Może być konieczne wybranie pozycji Więcej opcji, a następnie użycie innego konta w celu określenia poświadczeń wprowadzonych podczas tworzenia maszyny wirtualnej. W polu e-mail wprowadź poświadczenia "Konto administratora: nazwa użytkownika" określone wcześniej. Wybierz przycisk OK , aby zalogować się do maszyny wirtualnej.
Uwaga
Podczas procesu logowania może pojawić się ostrzeżenie o certyfikacie. Jeśli zostanie wyświetlone ostrzeżenie, wybierz pozycję Tak lub Kontynuuj, aby nawiązać połączenie.
Po zalogowaniu otwórz Windows PowerShell. Korzystając z poniższego skryptu, zamapuj udział plików platformy Azure na dysk Z przy użyciu programu PowerShell. Zastąp
<storage-account-key>zmienną i obie<storage-account-name>wartościami podanymi i zanotuj je wcześniej w kroku Tworzenie konta magazynu .$acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force $credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credentialProgram PowerShell zwraca dane wyjściowe podobne do następujących przykładowych danych wyjściowych:
Name Used (GB) Free (GB) Provider Root ---- --------- --------- -------- ---- Z FileSystem \\mystorage007.file.core.windows.net\my-f...Udział plików platformy Azure został pomyślnie mapowany na dysk Z.
Zamknij sesję pulpitu zdalnego dla maszyny wirtualnej myVmPrivate.
Potwierdzanie odmowy dostępu do konta magazynu
Z witryny myVmPublic:
Wprowadź ciąg myVmPublic w polu Szukaj zasobów, usług i dokumentów w górnej części portalu. Gdy pozycja myVmPublic pojawi się w wynikach wyszukiwania, wybierz ją.
Powtórz kroki 1–5 powyżej w sekcji Potwierdzanie dostępu do konta magazynu dla maszyny wirtualnej myVmPublic .
Po chwili pojawi się komunikat o błędzie:
New-PSDrive : Access is denied. Odmowa dostępu nastąpi, ponieważ maszyna wirtualna myVmPublic jest wdrożona w podsieci Public. Podsieć Publiczna nie ma włączonego punktu końcowego usługi dla usługi Azure Storage. Konto magazynu zezwala jedynie na dostęp do sieci z podsieci Private, ale nie z podsieci Public.New-PSDrive : Access is denied At line:1 char:1 + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommandZamknij sesję pulpitu zdalnego dla maszyny wirtualnej myVmPublic.
Z komputera lokalnego:
W Azure Portal przejdź do unikatowo nazwanego utworzonego wcześniej konta magazynu. Na przykład mystorage007.
Wybierz pozycję Udziały plików w obszarze Magazyn danych, a następnie wybierz utworzony wcześniej udział my-file-share .
Powinien zostać wyświetlony następujący komunikat o błędzie:
Uwaga
Odmowa dostępu, ponieważ komputer nie znajduje się w podsieci Prywatnej sieci wirtualnej MyVirtualNetwork .
Czyszczenie zasobów
Gdy grupa zasobów nie będzie już potrzebna, usuń ją wraz ze wszystkimi zasobami, które zawiera:
Wprowadź ciąg myResourceGroup w polu Szukaj w górnej części portalu. Gdy pozycja myResourceGroup pojawi się w wynikach wyszukiwania, wybierz ją.
Wybierz pozycję Usuń grupę zasobów.
Wprowadź wartość myResourceGroup jako WPISZ NAZWĘ GRUPY ZASOBÓW: i wybierz pozycję Usuń.
Następne kroki
W tym samouczku został włączony punkt końcowy usługi dla podsieci sieci wirtualnej. Wiesz teraz, że punkty końcowe usługi można włączyć dla zasobów wdrożonych w wielu usługach platformy Azure. Utworzono konto usługi Azure Storage i ograniczono dostęp sieciowy do konta magazynu tylko do zasobów w podsieci sieci wirtualnej. Aby dowiedzieć się więcej na temat punktów końcowych usług, zobacz Service endpoints overview (Omówienie punktów końcowych usługi) i Manage subnets (Zarządzanie podsieciami).
Jeśli masz wiele sieci wirtualnych na koncie, możesz chcieć nawiązać łączność między nimi, aby zasoby mogły komunikować się ze sobą. Aby dowiedzieć się, jak połączyć sieci wirtualne, przejdź do następnego samouczka.