Tutorial: restringir o acesso à rede de recursos de PaaS com pontos de extremidade de serviço de rede virtual usando o Portal do Azure

Os pontos de extremidade de serviço de rede virtual permitem limitar o acesso à rede a alguns recursos de serviço do Azure para uma sub-rede da rede virtual. Você também pode remover o acesso à Internet para os recursos. Os pontos de extremidade de serviço fornecerão conexão direta de sua rede virtual a um serviço do Azure, permitindo que você use o espaço de endereço privado da sua rede virtual para acessar os serviços do Azure compatíveis. O tráfego destinado aos recursos do Azure por meio de pontos de extremidade de serviço sempre fica na rede de backbone do Microsoft Azure. Neste tutorial, você aprenderá como:

  • Criar uma rede virtual com uma sub-rede
  • Adicionar uma sub-rede e habilitar um ponto de extremidade de serviço
  • Criar um recurso do Azure e permitir o acesso à rede para ele apenas de uma sub-rede
  • Implantar uma VM (máquina virtual) para cada sub-rede
  • Confirmar o acesso a um recurso por meio de uma sub-rede
  • Confirmar se o acesso é negado para um recurso por meio de uma sub-rede e da Internet

Se preferir, você pode concluir este tutorial usando a CLI do Azure ou o Azure PowerShell.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Criar uma rede virtual

  1. Entre no portal do Azure.

  2. Selecione Criar um recurso no canto superior esquerdo do portal do Azure. Procure Rede virtual e selecione Criar.

    Captura de tela da pesquisa de rede virtual na página Criar um recurso.

  3. Na guia Básico, insira as seguintes informações e selecione Avançar: Endereços IP .

    Configuração Valor
    Subscription Selecione sua assinatura
    Resource group Selecione Criar novo e insira myResourceGroup.
    Nome Insira myVirtualNetwork
    Região Selecione (EUA) Leste dos EUA

    Captura de tela da guia Básico para criar uma rede virtual.

  4. Na guia Endereços IP, selecione as seguintes configurações de endereço IP e selecione Revisar + Criar.

    Configuração Valor
    Espaço de endereço IPv4 Mantenha o padrão.
    Nome da sub-rede Selecione padrão e altere o nome da sub-rede para "Público".
    Intervalo de endereços da sub-rede Mantenha o padrão.

    Captura de tela da guia Endereços IP para criar uma rede virtual.

  5. Se as verificações de validação forem aprovadas, selecione Criar.

  6. Aguarde a conclusão da implantação e selecione Ir para recurso ou prossiga para a próxima seção.

Habilitar um ponto de extremidade de serviço

Pontos de extremidade de serviço são habilitados por serviço, por sub-rede. Para criar uma sub-rede e habilitar um ponto de extremidade de serviço para ela:

  1. Se você ainda não estiver na página de recurso da rede virtual, poderá procurar a rede recém-criada na caixa na parte superior do portal. Insira myVirtualNetwork e selecione-o na lista.

  2. Selecione Sub-redes, em Configurações e selecione + Sub-rede, da seguinte forma:

    Captura de tela da adição de sub-rede a uma rede virtual existente.

  3. Na página Adicionar sub-rede, selecione ou insira as informações a seguir e selecione Salvar:

    Configuração Valor
    Nome Privado
    Intervalo de endereços da sub-rede Mantenha-o como o padrão
    Pontos de extremidade de serviço Selecione Microsoft.Storage
    Políticas do ponto de extremidade de serviço Deixar padrão. 0 selecionado.

    Captura de tela de adição de uma página de sub-rede com pontos de extremidade de serviço configurados.

Cuidado

Antes de habilitar um ponto de extremidade de serviço para uma sub-rede existente que tenha recursos nela, consulte Alterar as configurações de sub-rede.

Restringir o acesso à rede de uma sub-rede

Por padrão, todas as instâncias de máquina virtual em uma sub-rede podem se comunicar com qualquer recurso. Você pode limitar a comunicação com todos os recursos em uma sub-rede criando um grupo de segurança de rede e associando-o à sub-rede:

  1. Na caixa de pesquisa na parte superior do portal do Azure, procure Grupos de segurança de rede.

    Captura de tela da pesquisa de grupos de segurança de rede.

  2. Na página Grupos de segurança de rede, selecione + Criar.

    Captura de tela da página de aterrissagem dos grupos de segurança de rede.

  3. Insira ou selecione as seguintes informações:

    Configuração Valor
    Subscription Selecione sua assinatura
    Resource group Selecione myResourceGroup na lista
    Nome Insira myNsgPrivate
    Location Selecione Leste dos EUA
  4. Selecione Examinar + criar e, quando a verificação de validação for aprovada, selecione Criar.

    Captura de tela da página Criar um grupo de segurança de rede.

  5. Depois que o grupo de segurança de rede for criado, selecione Ir para recurso ou procure myNsgPrivate na parte superior do portal do Azure.

  6. Selecione Regras de segurança de saída em Configurações e selecione + Adicionar.

    Captura de tela da adição da regra de segurança de saída.

  7. Crie uma regra que permita a comunicação de saída para o serviço de Armazenamento do Azure. Insira ou selecione as seguintes informações e selecione Adicionar:

    Configuração Valor
    Fonte Selecione VirtualNetwork
    Intervalos de portas de origem *
    Destino Selecione Marca de Serviço
    Marca de serviço de destino Selecione Armazenamento
    Serviço Mantenha o padrão como Personalizado.
    Intervalos de portas de destino Altere para 445. O protocolo SMB é usado para se conectar a um compartilhamento de arquivo criado em uma etapa posterior.
    Protocolo Qualquer
    Ação Allow
    Prioridade 100
    Nome Renomeie-o para Allow-Storage-All

    Captura de tela da criação de uma segurança de saída para acessar o armazenamento.

  8. Crie outra regra de segurança de saída que nega a comunicação com a Internet. Essa regra substitui uma regra padrão em todos os grupos de segurança de rede que permite a comunicação de saída à Internet. Conclua as etapas 6 a 9 acima usando os seguintes valores e selecione Adicionar:

    Configuração Valor
    Fonte Selecione VirtualNetwork
    Intervalos de portas de origem *
    Destino Selecione Marca de Serviço
    Marca de serviço de destino Selecione Internet
    Serviço Mantenha o padrão como Personalizado.
    Intervalos de portas de destino *
    Protocolo Qualquer
    Ação Altere o padrão para Negar.
    Prioridade 110
    Nome Altere-o para Deny-Internet-All

    Captura de tela da criação de uma segurança de saída para bloquear o acesso à Internet.

  9. Crie uma regra de segurança de entrada que permita o tráfego do protocolo RDP à sub-rede de qualquer lugar. A regra substitui uma regra de segurança padrão que nega todo o tráfego da Internet. Conexões de área de trabalho remota são permitidas para a sub-rede para que a conectividade possa ser testada em uma etapa posterior. Selecione Regras de segurança de entrada em Configurações e selecione + Adicionar.

    Captura de tela da adição da regra de segurança de entrada.

  10. Insira ou selecione os seguintes valores e selecione Adicionar.

    Configuração Valor
    Fonte Qualquer
    Intervalos de portas de origem *
    Destino Selecione VirtualNetwork
    Intervalos de portas de destino Altere-o para 3389
    Protocolo Qualquer
    Ação Allow
    Prioridade 120
    Nome Altere-o para Allow-RDP-All

    Captura de tela da criação de uma regra para permitir a área de trabalho remota de entrada.

    Aviso

    A porta 3389 RDP é exposta à Internet. Isso só é recomendado para testes. Para ambientes de produção, recomendamos usar uma VPN ou uma conexão privada.

  11. Selecione Sub-redes, em Configurações e selecione + Associar.

    Captura de tela da página de associação de sub-rede de grupos de segurança de rede.

  12. Selecione myVirtualNetwork em Rede Virtual e selecione Privada em Sub-redes. Selecione OK para associar o grupo de segurança de rede à sub-rede selecionada.

    Captura de tela da associação de um grupo de segurança de rede a uma sub-rede privada.

Restringir o acesso à rede para um recurso

As etapas necessárias para restringir o acesso à rede aos recursos criados por meio dos serviços do Azure, que são habilitados para pontos de extremidade de serviço, variam conforme o serviço. Confira a documentação de serviços individuais para obter as etapas específicas para cada serviço. O restante deste tutorial inclui etapas para restringir o acesso de rede para uma conta de Armazenamento do Microsoft Azure como exemplo.

Criar uma conta de armazenamento

  1. Selecione Criar um recurso no canto superior esquerdo do Portal do Azure.

  2. Insira "Conta de armazenamento" na barra de pesquisa e selecione-a no menu suspenso. Em seguida, selecione Criar.

  3. Insira as seguintes informações:

    Configuração Valor
    Subscription Selecione sua assinatura
    Resource group Selecione myResourceGroup
    Nome da conta de armazenamento Insira um nome que seja exclusivo em todas as localizações do Azure. O nome precisa ter entre 3 e 24 caracteres, usando apenas números e letras minúsculas.
    Região Selecione (EUA) Leste dos EUA
    Desempenho Standard
    Redundância Armazenamento com redundância local (LRS)

    Captura de tela da criação de uma nova conta de armazenamento.

  4. Selecione Criar + examinar e, quando as verificações de validação forem aprovadas, selecione Criar.

    Observação

    A implantação poderá levar alguns minutos para ser concluída.

  5. Depois que a conta de armazenamento tiver sido criada, selecione Ir para recurso.

Criar um compartilhamento de arquivos na conta de armazenamento

  1. Selecione Compartilhamentos de arquivo em Armazenamento de dados e selecione + Compartilhamento de arquivo.

    Captura de tela da página de compartilhamento de arquivo em uma conta de armazenamento.

  2. Insira ou defina os seguintes valores para o compartilhamento de arquivo e selecione Criar:

    Configuração Valor
    Nome my-file-share
    Quota Selecione Definir como máximo.
    Camada Deixe como padrão, Transação otimizada.

    Captura de tela da página de criação de novas configurações de compartilhamento de arquivo.

  3. O novo compartilhamento de arquivo deverá aparecer na página de compartilhamento de arquivo caso não se selecione o botão Atualizar na parte superior da página.

Restringir o acesso à rede para uma sub-rede

Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede, incluindo a Internet. Você pode restringir o acesso à rede pela Internet e a todas as outras sub-redes em todas as redes virtuais (exceto para a sub-rede Privada na rede virtual myVirtualNetwork). Para restringir o acesso à rede para uma sub-rede:

  1. Selecione Rede em Configurações para a sua conta de armazenamento (nomeada exclusivamente).

  2. Selecione Permitir acesso de Redes selecionadas e selecione + Adicionar rede virtual existente.

    Captura de tela da página de configurações de rede da conta de armazenamento.

  3. Em Adicionar redes, selecione os seguintes valores e Adicionar:

    Configuração Valor
    Subscription Selecione sua assinatura
    Redes virtuais myVirtualNetwork
    Sub-redes Privada

    Captura de tela da página de adição da rede virtual à conta de armazenamento.

  4. Clique no botão Salvar para salvar as configurações de rede virtual.

  5. Selecione Chaves de acesso em Segurança + rede para a conta de armazenamento e selecione Mostrar chaves. Anote o valor de key1 para usar em uma etapa posterior ao mapear o compartilhamento de arquivo em uma VM.

    Captura de tela das cadeias de conexão e da chave de conta de armazenamento.

Criar máquinas virtuais

Para testar o acesso à rede para uma conta de armazenamento, implante uma VM para cada sub-rede.

Criar a primeira máquina virtual

  1. No portal do Azure, selecione + Criar um recurso.

  2. Selecione Computação e Criar em Máquina virtual.

  3. Na guia Básico, insira ou selecione as informações a seguir:

    Configuração Valor
    Subscription Selecione sua assinatura
    Resource group Selecione myResourceGroup, que foi criado anteriormente.
    Nome da máquina virtual Insira myVmPublic
    Região (EUA) Leste dos EUA
    Opções de disponibilidade Zona de disponibilidade
    Zona de disponibilidade 1
    Imagem Selecione uma imagem do SO. Para essa VM, o Windows Server 2019 Datacenter – Gen1 é selecionado.
    Tamanho Selecione o tamanho da instância de VM que deseja usar
    Nome de Usuário Insira um nome de usuário de sua escolha.
    Senha Insira uma senha de sua escolha. A senha deve ter no mínimo 12 caracteres e atender a requisitos de complexidade definidos.
    Porta de entrada públicas Permita as portas selecionadas
    Selecione as portas de entrada Deixe o padrão definido como RDP (3389)

    Captura de tela da criação de configurações de máquina virtual pública.

  4. Na guia Rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Rede Virtual Selecione myVirtualNetwork.
    Sub-rede Selecione Público.
    Grupo de segurança de rede da NIC Selecione Avançado. O portal cria automaticamente um grupo de segurança de rede para você que permite a porta 3389. Você precisará dessa porta aberta para se conectar à máquina virtual em uma etapa posterior.

    Captura de tela da criação de configurações de rede de máquina virtual pública.

  5. Escolha Examinar e criar, Criar e aguarde a conclusão da implantação.

  6. Selecione Ir para recurso ou abra Página Inicial Máquinas virtuais e selecione a VM recém-criada myVmPublic, que deverá ser iniciada.

Criar a segunda máquina virtual

  1. Repita as etapas de 1 a 5 para criar uma segunda máquina virtual. Na etapa 3, nomeia a máquina virtual como myVmPrivate e defina o Grupo de segurança de rede de NIC como Nenhum. Na etapa 4, selecione a sub-rede Privada.

    Captura de tela da criação de configurações de rede de máquina virtual privada.

  2. Escolha Examinar e criar, Criar e aguarde a conclusão da implantação.

    Aviso

    Não prossiga para a próxima etapa até que a implantação seja concluída.

  3. Selecione Ir para recurso ou abra Página Inicial Máquinas virtuais e selecione a VM recém-criada myVmPrivate, que deverá ser iniciada.

Confirmar acesso à conta de armazenamento

  1. Depois que a VM myVmPrivate tiver sido criada, acesse a página de visão geral da máquina virtual. Conecte-se à máquina virtual selecionando o botão Conexão e selecione RDP na lista suspensa.

    Captura de tela do botão para conectar da máquina virtual privada.

  2. Selecione Baixar arquivo RDP para baixar no seu computador o arquivo da área de trabalho remota.

    Captura de tela do download do arquivo RDP da máquina virtual privada.

  3. Abra o arquivo rdp baixado. Quando solicitado, selecione Conectar.

    Captura da tela da conexão para a máquina virtual privada.

  4. Insira o nome de usuário e senha que você especificou ao criar a VM. Talvez seja necessário selecionar Mais opções e Usar outra conta para especificar as credenciais inseridas durante a criação da VM. No campo de email, insira as credenciais da "Conta de administrador: nome de usuário" especificadas anteriormente. Selecione OK para entrar na VM.

    Captura da tela da credencial da máquina virtual privada.

    Observação

    Você pode receber um aviso do certificado durante o processo de logon. Se você receber o aviso, selecione Sim ou Continuar, para prosseguir com a conexão.

  5. Depois de entrar, abra o Windows PowerShell. Usando o script abaixo, mapeie o compartilhamento de arquivo do Azure para a unidade Z usando o PowerShell. Substitua <storage-account-key> e ambas as variáveis <storage-account-name> pelos valores fornecidos e anotados anteriormente nas etapas <storage-account-key>.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential
    

    O PowerShell retorna uma saída semelhante à seguinte saída de exemplo:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...
    

    O compartilhamento de arquivos do Azure foi mapeado com êxito para a unidade Z.

  6. Feche a sessão da área de trabalho remota para a VM myVmPrivate.

Confirmar que o acesso é negado para a conta de armazenamento

De myVmPublic:

  1. Digite myVmPublic na caixa Pesquisar recursos, serviços e documentos na parte superior do portal. Quando myVmPublic for exibido nos resultados da pesquisa, selecione-o.

  2. Repita as etapas 1 a 5 acima em Confirmar acesso à conta de armazenamento para a VM myVmPublic.

    Após uma breve espera, você verá um erro New-PSDrive : Access is denied. O acesso é negado porque a VM myVmPublic é implantada na sub-rede Pública. A sub-rede Pública não tem um ponto de extremidade de serviço habilitado para o Armazenamento do Microsoft Azure. A conta de armazenamento só permite o acesso à rede a partir da sub-rede Privada, não da sub-rede Pública.

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
        + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    
    
  3. Feche a sessão da área de trabalho remota para a VM myVmPublic.

De um computador local:

  1. No portal do Azure, acesse a conta de armazenamento nomeada exclusivamente que você já criou. Por exemplo, mystorage007.

  2. Selecione Compartilhamentos de arquivo em Armazenamento de dados e selecione o my-file-share criado anteriormente.

  3. Você deve receber a seguinte mensagem de erro:

    Captura de tela da mensagem de erro de acesso negado.

Observação

O acesso é negado porque o computador não está na sub-rede Privada da rede virtual MyVirtualNetwork.

Limpar os recursos

Quando não for mais necessário, exclua o grupo de recursos e todos os recursos que ele contém:

  1. Insira myResourceGroup na caixa Pesquisar na parte superior do portal. Quando aparecer myResourceGroup nos resultados da pesquisa, selecione-o.

  2. Selecione Excluir grupo de recursos.

  3. Insira myResourceGroup para DIGITAR O NOME DO GRUPO DE RECURSOS: e selecione Excluir.

Próximas etapas

Neste tutorial, você habilitou um ponto de extremidade de serviço para uma sub-rede de rede virtual. Você aprendeu que pode habilitar pontos de extremidade de serviço para recursos implantados a partir de vários serviços do Azure. Você criou uma conta de Armazenamento do Microsoft Azure e restringiu o acesso à rede para conta de armazenamento apenas aos recursos em uma sub-rede de rede virtual. Para saber mais sobre pontos de extremidade de serviços, consulte Visão geral de pontos de extremidade de serviço e Gerenciar sub-redes.

Se você tiver várias redes virtuais na sua conta, talvez queira estabelecer a conectividade entre elas para que os recursos possam se comunicar entre si. Para saber mais sobre como conectar redes virtuais, siga para o próximo tutorial.