Tutorial: Conectar-se a uma conta de armazenamento usando um ponto de extremidade privado do Azure
Um ponto de extremidade privado do Azure é o bloco de construção básico para o Link Privado no Azure. Ele permite que recursos do Azure, como VMs (máquinas virtuais), se comuniquem de modo privado e seguro com recursos do Link Privado, como o Armazenamento do Microsoft Azure.
Neste tutorial, você aprenderá como:
- Criar uma rede virtual e um bastion host.
- Crie uma conta de armazenamento e desabilite o acesso público.
- Crie um ponto de extremidade privado para a conta de armazenamento.
- Crie uma máquina virtual.
- Testar a conectividade com o ponto de extremidade privado da conta de armazenamento.
Pré-requisitos
- Uma assinatura do Azure. Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.
Entrar no Azure
Entre no portal do Azure.
Criar uma rede virtual e um host do Azure Bastion
O seguinte procedimento cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Bastion:
No portal do Azure, pesquise e selecione Redes virtuais.
Na página Redes virtuais, selecione + Criar.
Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione Criar novo.
Insira test-rg para o nome.
Selecione
.Detalhes da instância Nome Insira vnet-1. Região Selecione Leste dos EUA 2. 
Selecione Avançar para prosseguir para a guia Segurança.
Na seção Azure Bastion, selecione Habilitar o Bastion.
O Bastion usa seu navegador para se conectar a VMs em sua rede virtual por meio do SSH (secure shell) ou protocolo RDP usando os endereços IP privados deles. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, confira O que é o Azure Bastion?.
Observação
Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.
Em Azure Bastion, digite ou selecione as seguintes informações:
Configuração Valor Nome do host do Azure Bastion Insira bastion. Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
Insira public-ip-bastion em Nome.
Selecione
.
Selecione Avançar para prosseguir para a guia Endereços IP.
Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.
Em Editar sub-rede, insira ou selecione as seguintes informações:
Configuração Valor Detalhes da sub-rede Modelo de sub-rede Mantenha o padrão como Padrão. Nome Insira sub-rede-1. Endereço inicial Deixe o padrão de 10.0.0.0. Tamanho da sub-rede Deixe o padrão de /24 (256 endereços). 
Selecione Salvar.
Selecione Examinar + criar na parte inferior da página. Quando a validação for aprovada na validação, selecione Criar.
Criar uma conta de armazenamento
Crie uma conta de Armazenamento do Azure para as etapas neste artigo. Se você já tiver uma conta de armazenamento, poderá usá-la.
Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.
Selecione + Criar.
Na guia Noções Básicas de Criar uma conta de armazenamento, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura do Azure. Grupo de recursos Selecione test-rg. Detalhes da instância Nome da conta de armazenamento Insira storage1. Se o nome não estiver disponível, insira um nome exclusivo. Location Selecione (EUA) Leste dos EUA 2. Desempenho Deixe o padrão Standard. Redundância Selecione LRS (armazenamento com redundância local). Selecione Examinar.
Selecione Criar.
Desabilitar o acesso público à conta de armazenamento
Antes de criar o ponto de extremidade privado, é recomendável desabilitar o acesso público à conta de armazenamento. Use as etapas a seguir para desabilitar o acesso público à conta de armazenamento.
Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.
Selecione storage1 ou o nome da sua conta de armazenamento existente.
Em Segurança + rede, selecione Rede.
Na guia Firewalls e redes virtuais em Acesso à rede pública, selecione Desabilitado.
Clique em Salvar.
Criar um ponto de extremidade privado
Na caixa de pesquisa, na parte superior do portal, insira Ponto de extremidade privado. Selecionar pontos de extremidade privados.
Selecione + Criar em Pontos de extremidade privados.
Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as informações a seguir.
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg Detalhes da instância Nome Insira private-endpoint. Nome da Interface de Rede Deixe o padrão de private-endpoint-nic. Região Selecione Leste dos EUA 2. Selecione Avançar: Recurso.
No painel Recurso, insira ou selecione as informações a seguir.
Configuração Valor Método de conexão Deixe o padrão Conectar a um recurso do Azure no meu diretório. Subscription Selecione sua assinatura. Tipo de recurso Selecione Microsoft.Storage/storageAccounts. Recurso Selecione storage-1 ou sua conta de armazenamento. Sub-recurso de destino Selecione o blob. Selecione Próximo: Rede Virtual.
Em Rede virtual, insira ou selecione as informações a seguir.
Configuração Valor Rede Rede virtual Selecione vnet-1 (test-rg). Sub-rede Selecione sub-rede-1. Política de rede para pontos de extremidade privados Selecione editar para aplicar a política de rede a pontos de extremidade privados.
Em Editar política de rede de sub-rede, marque a caixa de seleção ao lado de Grupos de segurança de rede e Tabelas de rota na Configuração de políticas de rede para todos os pontos de extremidade privados nesta sub-rede pull-down.
Selecione Salvar.
Para mais informações, confira Gerenciar políticas de rede para pontos de extremidade privadosConfiguração Valor Configuração de IP privado Selecione Alocar endereço IP dinamicamente. 
Selecione Avançar: DNS.
Deixe os padrões no DNS. Selecione Avançar: Tags, depois Avançar: Examinar + criar.
Selecione Criar.
Criar máquina virtual de teste
O procedimento a seguir cria uma máquina virtual de teste (VM) chamada vm-1 na rede virtual.
No portal, pesquise e selecione Máquinas virtuais.
Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.
Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as informações a seguir:
Configuração Valor Detalhes do projeto Subscription Selecione sua assinatura. Resource group Selecione test-rg. Detalhes da instância Nome da máquina virtual Insira vm-1. Região Selecione Leste dos EUA 2. Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária. Tipo de segurança Deixe o padrão de Standard. Imagem Selecione Windows Server 2022 Datacenter – x64 Gen2. Arquitetura de VMs; Mantenha o padrão x64. Tamanho Selecione um tamanho. Conta de administrador Tipo de autenticação Selecione Senha. Nome de Usuário insira azureuser. Senha Digite uma senha. Confirmar senha Digitar novamente a senha. Regras de porta de entrada Porta de entrada públicas Selecione Nenhum. Selecione a guia Rede na parte superior da página.
Insira ou selecione as seguintes informações na guia Rede:
Configuração Valor Interface de rede Rede virtual Selecione vnet-1. Sub-rede Selecione sub-rede-1 (10.0.0.0/24). IP público Selecione Nenhum. Grupo de segurança de rede da NIC Selecione Avançado. Configurar um grupo de segurança de rede Selecione Criar novo.
Insira nsg-1 no nome.
Deixe os demais valores como padrão e selecione OK.Deixe o restante das configurações nos padrões e selecione Revisar + criar.
Examine as configurações e selecione Criar.
Observação
Máquinas virtuais em uma rede virtual com um bastion host não precisam de endereços IP públicos. O Bastion fornece o IP público e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas no bastion. Para obter mais informações, confira dissociar um endereço IP público de uma VM do Azure.
Observação
O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.
O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:
- Um endereço IP público é atribuído à VM.
- A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
- Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.
As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.
Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.
Chave de acesso de armazenamento
A chave de acesso de armazenamento é necessária para as etapas posteriores. Acesse a conta de armazenamento criada anteriormente e copie a cadeia de conexão com a chave de acesso da conta de armazenamento.
Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.
Selecione a conta de armazenamento criada nas etapas anteriores ou sua conta de armazenamento existente.
Na seção Segurança + rede da conta de armazenamento, selecione Chaves de acesso.
Selecione Mostrar e, em seguida, selecione copiar na Cadeia de conexão para key1.
Adicionar um contêiner de blob
Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.
Escolha a conta de armazenamento criada nas etapas anteriores.
Na seção Armazenamento de dados, selecione Contêineres.
Escolha + Contêiner para criar um contêiner.
Insira contêiner em Nome e selecione Privado (sem acesso anônimo) em Nível de acesso público.
Selecione Criar.
Testar a conectividade com o ponto de extremidade privado
Nesta seção, use a máquina virtual criada nas etapas anteriores para se conectar à conta de armazenamento no ponto de extremidade privado usando o Gerenciador de Armazenamento do Microsoft Azure.
Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.
Selecione vm-1.
Em Operações, selecione Bastion.
Insira o nome de usuário e a senha que você inseriu durante a criação da máquina virtual.
Selecione Conectar.
Abra o Windows PowerShell no servidor depois de se conectar.
Digite
nslookup <storage-account-name>.blob.core.windows.net. Substitua <storage-account-name> pelo nome da conta de armazenamento criada nas etapas anteriores. O exemplo a seguir mostra a saída do comando.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.netUm endereço IP privado igual a 10.0.0.10 é retornado para o nome da conta de armazenamento. Esse endereço está na sub-rede subnet-1 da rede virtual vnet-1 criada anteriormente.
Instale o Gerenciador de Armazenamento do Microsoft Azure na máquina virtual.
Selecione Concluir após a instalação do Gerenciador de Armazenamento do Microsoft Azure. Mantenha a caixa marcada para abrir o aplicativo.
Selecione o símbolo do Plugue de energia para abrir a caixa de diálogo Selecionar Recurso na barra de ferramentas à esquerda.
Em Selecionar Recurso, selecione Conta ou serviço de armazenamento para adicionar uma conexão no Gerenciador de Armazenamento do Microsoft Azure à conta de armazenamento que você criou nas etapas anteriores.
Na tela Selecionar Método de Conexão, selecione Cadeia de conexão e, em seguida, Avançar.
Na caixa, em Cadeia de conexão, cole a cadeia de conexão da conta de armazenamento que você copiou nas etapas anteriores. O nome da conta de armazenamento é preenchido automaticamente na caixa em Nome de exibição.
Selecione Avançar.
Verifique se as configurações estão corretas em Resumo.
Selecione Conectar
Selecione a conta de armazenamento no menu Contas de Armazenamento no explorer.
Expanda a conta de armazenamento e os Contêineres de Blob.
O contêiner criado anteriormente será exibido.
Fechar a conexão com vm-1.
Limpar os recursos
Quando terminar de usar os recursos criados, você poderá excluir o grupo de recursos e todos os recursos dele:
No portal do Azure, procure por Grupos de recursos e selecione essa opção.
Na página Grupos de recursos, selecione o grupo de recursos test-rg.
Na página test-rg, selecione Excluir grupo de recursos .
Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.
Próximas etapas
Neste tutorial, você aprendeu a criar:
Uma rede virtual e um bastion host.
Uma máquina virtual.
Uma conta de armazenamento e um contêiner.
Saiba como se conectar a uma conta do Azure Cosmos DB usando o Ponto de Extremidade Privado do Azure: