Självstudie: Begränsa nätverksåtkomst till PaaS-resurser med tjänstslutpunkter för virtuellt nätverk och Azure-portalen

  • Artikel
  • 10 minuter för att läsa

Med tjänstslutpunkter för virtuellt nätverk kan du begränsa nätverksåtkomsten till vissa Azure-tjänsters resurser till ett undernät för virtuella datorer. Du kan också ta bort resursernas internetåtkomst. Tjänstslutpunkterna möjliggör direktanslutning från ditt virtuella nätverk till Azure-tjänster som stöds, så att du kan använda det privata adressutrymmet i det virtuella nätverket för åtkomst till Azure-tjänsterna. Trafik till Azure-resurser genom tjänstslutpunkterna finns alltid kvar i Microsoft Azure-stamnätverket. I den här guiden får du lära dig att:

  • Skapa ett virtuellt nätverk med ett undernät
  • Lägga till ett undernät och aktivera en tjänstslutpunkt
  • Skapa en Azure-resurs och tillåt nätverksåtkomst till den från enbart ett undernät
  • Distribuera en virtuell dator (VM) till varje undernät
  • Bekräfta åtkomst till en resurs från ett undernät
  • Bekräfta att åtkomst nekas för en resurs från ett undernät och internet

Om du vill kan du slutföra den här självstudien med Azure CLI eller Azure PowerShell.

Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Skapa ett virtuellt nätverk

  1. Logga in på Azure-portalen.

  2. Välj + Skapa en resurs i det övre vänstra hörnet i Azure Portal. Sök efter Virtual Network och välj sedan Skapa.

    Skärmbild av sökning efter virtuellt nätverk i skapa en resurssida.

  3. På fliken Grundläggande anger du följande information och väljer sedan Nästa: IP-adresser >.

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj Skapa ny och skriv myResourceGroup.
    Name Ange myVirtualNetwork
    Region Välj USA, östra

    Skärmbild av fliken Grundläggande inställningar för att skapa ett virtuellt nätverk.

  4. På fliken IP-adresser väljer du följande IP-adressinställningar och väljer sedan Granska + skapa.

    Inställning Värde
    IPv4-adressutrymme Lämna som standard.
    Namn på undernät Välj standard och ändra namnet på undernätet till "Offentligt".
    Adressintervall för undernätet Lämna som standard.

    Skärmbild av fliken IP-adresser för att skapa ett virtuellt nätverk.

  5. Om valideringskontrollerna är klara väljer du Skapa.

  6. Vänta tills distributionen är klar och välj sedan Gå till resurs eller gå vidare till nästa avsnitt.

Aktivera en tjänstslutpunkt

Tjänstslutpunkter är aktiverade per tjänst och undernät. Så här skapar du ett undernät och aktiverar en tjänstslutpunkt för undernätet:

  1. Om du inte redan är på resurssidan för det virtuella nätverket kan du söka efter det nyligen skapade nätverket i rutan överst i portalen. Ange myVirtualNetwork och välj det i listan.

  2. Välj Undernät under Inställningar och välj sedan + Undernät enligt följande:

    Skärmbild av att lägga till undernät i ett befintligt virtuellt nätverk.

  3. På sidan Lägg till undernät väljer eller anger du följande information och väljer sedan Spara:

    Inställning Värde
    Namn Privat
    Adressintervall för undernätet Lämna som standard
    Tjänstslutpunkter Välj Microsoft.Storage
    Principer för tjänstslutpunkter Låt standardvärdet vara kvar. 0 valda.

    Skärmbild av sidan Lägg till ett undernät med konfigurerade tjänstslutpunkter.

Varning

Se Ändra undernätsinställningar innan du aktiverar en tjänstslutpunkt för ett befintligt undernät som innehåller resurser.

Begränsa nätverksåtkomst för ett undernät

Som standard kan alla instanser av virtuella datorer i ett undernät kommunicera med alla resurser. Du kan begränsa kommunikationen till och från alla resurser i ett undernät genom att skapa en nätverkssäkerhetsgrupp och koppla den till undernätet:

  1. I sökrutan längst upp i Azure Portal du efter Nätverkssäkerhetsgrupper.

    Skärmbild av sökning efter nätverkssäkerhetsgrupper.

  2. På sidan Nätverkssäkerhetsgrupper väljer du + Skapa.

    Skärmbild av landningssidan för nätverkssäkerhetsgrupper.

  3. Ange eller välj följande information:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj myResourceGroup i listan
    Name Ange myNsgPrivate
    Location Välj USA, östra

  4. Välj Granska + skapa och när valideringskontrollen har godkänts väljer du Skapa.

    Skärmbild av sidan Skapa en nätverkssäkerhetsgrupp.

  5. När nätverkssäkerhetsgruppen har skapats väljer du till resurs eller söker efter myNsgPrivate överst i Azure Portal.

  6. Välj Utgående säkerhetsregler under Inställningar och välj sedan + Lägg till.

    Skärmbild av att lägga till en utgående säkerhetsregel.

  7. Skapa en regel som tillåter utgående kommunikation till Azure Storage-tjänsten. Välj eller ange följande information och välj Lägg till:

    Inställning Värde
    Källa Välj VirtualNetwork
    Källportintervall *
    Mål Välj Tjänsttagg
    Måltjänsttagg Välj Lagring
    Tjänst Låt standardvärdet vara Anpassad.
    Målportintervall Ändra till 445. SMB-protokollet används för att ansluta till en filresurs som skapats i ett senare steg.
    Protokoll Valfri
    Åtgärd Tillåt
    Prioritet 100
    Namn Byt namn till Allow-Storage-All

    Skärmbild av hur du skapar en utgående säkerhet för åtkomst till lagring.

  8. Skapa en annan säkerhetsregel för utgående kommunikation som nekar utgående kommunikation till internet. Den här regeln åsidosätter en standardregel i alla nätverkssäkerhetsgrupper som tillåter utgående internetkommunikation. Slutför steg 6–9 ovan med följande värden och välj sedan Lägg till:

    Inställning Värde
    Källa Välj VirtualNetwork
    Källportintervall *
    Mål Välj Tjänsttagg
    Måltjänsttagg Välj Internet
    Tjänst Låt standardvärdet vara Anpassad.
    Målportintervall *
    Protokoll Valfri
    Åtgärd Ändra standardvärdet till Neka.
    Prioritet 110
    Name Ändra till Deny-Internet-All

    Skärmbild av att skapa en utgående säkerhet för att blockera Internetåtkomst.

  9. Skapa en inkommande säkerhetsregel som tillåter Remote Desktop Protocol (RDP)-trafik till undernätet var som helst. Regeln åsidosätter en standardsäkerhetsregel som nekar all inkommande trafik från internet. Fjärrskrivbordsanslutningar tillåts i undernätet så att anslutningen kan testas i ett senare steg. Välj Inkommande säkerhetsregler under Inställningar och välj sedan + Lägg till.

    Skärmbild av tillägg av inkommande säkerhetsregel.

  10. Ange eller välj följande värden och välj sedan Lägg till.

    Inställning Värde
    Källa Valfri
    Källportintervall *
    Mål Välj VirtualNetwork
    Målportintervall Ändra till 3389
    Protokoll Valfri
    Åtgärd Tillåt
    Prioritet 120
    Name Ändra till Allow-RDP-All

    Skärmbild av hur du skapar en regel för att tillåta inkommande fjärrskrivbord.

    Varning

    RDP-port 3389 exponeras mot Internet. Detta rekommenderas endast för testning. För produktionsmiljöer rekommenderar vi att du använder en VPN-anslutning eller en privat anslutning.

  11. Välj Undernät under Inställningar och välj sedan + Associera.

    Skärmbild av sidan för undernätsassociatyeringar för nätverkssäkerhetsgrupper.

  12. Välj myVirtualNetwork under Virtual Network och välj sedan Privat under Undernät. Välj OK för att associera nätverkssäkerhetsgruppen med det valda undernätet.

    Skärmbild av att associera en nätverkssäkerhetsgrupp med ett privat undernät.

Begränsa nätverksåtkomst till en resurs

De steg som krävs för att begränsa nätverksåtkomsten till resurser som skapats via Azure-tjänster, som är aktiverade för tjänstslutpunkter, varierar mellan olika tjänster. Läs dokumentationen för enskilda tjänster för specifika åtgärder för varje tjänst. Resten av den här självstudien innehåller steg för att begränsa nätverksåtkomsten för ett Azure Storage-konto som exempel.

Skapa ett lagringskonto

  1. Klicka på + Skapa en resurs längst upp till vänster på Azure Portal.

  2. Ange "Storage konto" i sökfältet och välj det från den nedrullningsbar menyn. Välj sedan Skapa.

  3. Ange följande information:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj myResourceGroup
    Lagringskontonamn Ange ett namn som är unikt för alla Azure-platser. Namnet måste vara mellan 3 och 24 tecken långt, med endast siffror och gemener.
    Region Välj USA, östra
    Prestanda Standard
    Redundans Lokalt redundant lagring (LRS)

    Skärmbild av att skapa ett nytt lagringskonto.

  4. Välj Skapa + granska och när verifieringskontrollerna har godkänts väljer du Skapa.

    Anteckning

    Distributionen kan ta några minuter att slutföra.

  5. När lagringskontot har skapats väljer du Gå till resurs.

Skapa en filresurs i lagringskontot

  1. Välj Filresurser under Datalagring och välj sedan + Filresurs.

    Skärmbild av filresurssidan i ett lagringskonto.

  2. Ange eller ange följande värden för filresursen och välj sedan Skapa:

    Inställning Värde
    Namn my-file-share
    Kvot Välj Ange till max.
    Nivå Lämna som standard Transaktionsoptimerad.

    Skärmbild av inställningssidan för att skapa en ny filresurs.

  3. Den nya filresursen bör visas på filresurssidan. Om den inte är det väljer du knappen Uppdatera längst upp på sidan.

Begränsa nätverksåtkomst till ett undernät

Som standard godkänner lagringskonton nätverksanslutningar från klienter i alla nätverk, inklusive internet. Du kan begränsa nätverksåtkomsten från Internet och alla andra undernät i alla virtuella nätverk (utom det privata undernätet i det virtuella nätverket myVirtualNetwork.) Så här begränsar du nätverksåtkomsten till ett undernät:

  1. Välj Nätverk under Inställningar för ditt (unikt namngivna) lagringskonto.

  2. Välj Tillåt åtkomst från Valda nätverk _ och välj sedan _ + Lägg till befintligt virtuellt nätverk**.

    Skärmbild av sidan nätverksinställningar för lagringskonto.

  3. Under Lägg till nätverk väljer du följande värden och sedan Lägg till:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Virtuella nätverk myVirtualNetwork
    Undernät Privat

    Skärmbild av sidan Lägg till virtuellt nätverk på lagringskontot.

  4. Välj knappen Spara för att spara de virtuella nätverkskonfigurationerna.

  5. Välj Åtkomstnycklar under Säkerhet + nätverk för lagringskontot och välj Visa nycklar. Observera värdet för key1 som ska användas i ett senare steg när du mappar filresursen på en virtuell dator.

    Skärmbild av lagringskontonyckel och anslutningssträngar.

Skapa virtuella datorer

Om du vill testa nätverksåtkomsten till ett lagringskonto distribuerar du en virtuell dator till varje undernät.

Skapa din första virtuella dator

  1. På Azure Portal väljer du + Skapa en resurs.

  2. Välj Compute och sedan Skapa under Virtuell dator.

  3. fliken Grundläggande anger eller väljer du följande information:

    Inställning Värde
    Prenumeration Välj din prenumeration
    Resursgrupp Välj myResourceGroup, som skapades tidigare.
    Namn på virtuell dator Ange myVmPublic
    Region (USA) USA, östra
    Alternativ för tillgänglighet Tillgänglighetszon
    Tillgänglighetszon 1
    Bild Välj en os-avbildning. För den här virtuella Windows Server 2019 Datacenter – Gen1 valt.
    Storlek Välj den VM-instansstorlek som du vill använda
    Användarnamn Ange ett valfritt användarnamn.
    Lösenord Ange ett valfritt lösenord. Lösenordet måste vara minst 12 tecken långt och uppfylla de definierade komplexitetskraven.
    Offentliga inkommande portar Tillåt valda portar
    Välj inkommande portar Låt standardvärdet vara RDP (3389)

    Skärmbild av inställningar för att skapa offentliga virtuella datorer.

  4. fliken Nätverk anger eller väljer du följande information:

    Inställning Värde
    Virtual Network Välj myVirtualNetwork.
    Undernät Välj Offentlig.
    Nätverkssäkerhetsgrupp för nätverkskort Välj Avancerat. Portalen skapar automatiskt en nätverkssäkerhetsgrupp åt dig som tillåter port 3389. Den här porten måste vara öppen för att ansluta till den virtuella datorn i ett senare steg.

    Skärmbild av nätverksinställningar för offentliga virtuella datorer.

  5. Välj Granska och skapa och sedan Skapa och vänta tills distributionen är klar.

  6. Välj Gå till resurs eller öppna sidan > Virtuella datorer och välj den virtuella dator som du nyss skapade myVmPublic som ska startas.

Skapa den andra virtuella datorn

  1. Upprepa steg 1–5 för att skapa en andra virtuell dator. I steg 3 ger du den virtuella datorn namnet myVmPrivate och anger Nätverkssäkerhetsgrupp för nätverkskort till Ingen. I steg 4 väljer du det privata undernätet.

    Skärmbild av nätverksinställningar för privata virtuella datorer.

  2. Välj Granska och skapa och sedan Skapa och vänta tills distributionen är klar.

    Varning

    Fortsätt inte till nästa steg förrän distributionen har slutförts.

  3. Välj Gå till resurs eller öppna sidan > Virtuella datorer och välj den virtuella dator som du nyss skapade myVmPrivate som ska startas.

Bekräfta åtkomst till lagringskontot

  1. När den virtuella datorn myVmPrivate har skapats går du till översiktssidan för den virtuella datorn. Anslut till den virtuella datorn genom att Anslut på knappen och sedan välja RDP i listrutan.

    Skärmbild av knappen Anslut för privat virtuell dator.

  2. Välj Ladda ned RDP-fil för att ladda ned fjärrskrivbordsfilen till datorn.

    Skärmbild av nedladdning av RDP-fil för privat virtuell dator.

  3. Öppna den nedladdade RDP-filen. När du uppmanas väljer du Anslut.

    Skärmbild av anslutningsskärmen för privat virtuell dator.

  4. Ange användarnamnet och lösenordet du angav när du skapade den virtuella datorn. Du kan behöva välja Fler alternativ och sedan Använda ett annat konto för att ange autentiseringsuppgifterna som du angav när du skapade den virtuella datorn. I e-postfältet anger du autentiseringsuppgifterna "Administratörskonto: användarnamn" som du angav tidigare. Välj OK för att logga in på den virtuella datorn.

    Skärmbild av skärmen för autentiseringsuppgifter för privat virtuell dator.

    Anteckning

    Du kan få en certifikatvarning under inloggningen. Om du ser varningen väljer du Ja eller Fortsätt för att fortsätta med anslutningen.

  5. När du har loggat in öppnar Windows PowerShell. Med hjälp av skriptet nedan mappar du Azure-filresursen till enhet Z med hjälp av PowerShell. Ersätt <storage-account-key> och båda <storage-account-name> variablerna med värden som du angav och antecknade tidigare i stegen för att skapa ett lagringskonto.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential

    PowerShell returnerar utdata som liknar följande exempelutdata:

    Name        Used (GB)     Free (GB) Provider      Root
----        ---------     --------- --------      ----
Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...

    Azure-fildelningen har mappats till enhet Z.

  6. Stäng fjärrskrivbordssessionen för den virtuella datorn myVmPrivate.

Bekräfta att åtkomst till lagringskontot nekas

Från myVmPublic:

  1. I rutan Sök efter resurser, tjänster och dokument högst upp i portalen skriver du myVmPublic. När myVmPublic visas i sökresultaten väljer du det.

  2. Upprepa steg 1–5 ovan i Bekräfta åtkomst till lagringskontot för den virtuella datorn myVmPublic.

    Efter en kort stund visas felet New-PSDrive : Access is denied. Åtkomst nekas eftersom den virtuella datorn myVmPublic distribueras i det offentliga undernätet. Det offentliga undernätet har inte någon tjänstslutpunkt aktiverad för Azure Storage. Lagringskontot tillåter endast nätverksåtkomst från det privata undernätet, inte det offentliga undernätet.

    New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
    + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand

  3. Stäng fjärrskrivbordssessionen för den virtuella datorn myVmPublic.

Från en lokal dator:

  1. I Azure Portal du till det unikt namngivna lagringskontot som du skapade tidigare. Till exempel mystorage007.

  2. Välj Filresurser under Datalagring och välj sedan den my-file-share som du skapade tidigare.

  3. Du bör få följande felmeddelande:

    Skärmbild av felmeddelande om nekad åtkomst.

Anteckning

Åtkomsten nekas eftersom datorn inte finns i det privata undernätet i det virtuella nätverket MyVirtualNetwork.

Rensa resurser

Ta bort resursgruppen, skalningsuppsättningen och alla resurser som den innehåller:

  1. Skriv myResourceGroup i sökrutan överst i portalen. När du ser myResourceGroup i sökresultatet väljer du den.

  2. Välj Ta bort resursgrupp.

  3. Skriv myResourceGroup i SKRIV RESURSGRUPPSNAMNET: och välj Ta bort.

Nästa steg

I den här självstudien har du aktiverat en tjänstslutpunkt för ett undernät för ett virtuellt nätverk. Du har lärt dig att du kan aktivera tjänstslutpunkter för resurser som distribueras från flera Azure-tjänster. Du har skapat Azure Storage-konto och begränsat nätverksåtkomsten till lagringskontot till endast resurser i ett undernät för ett virtuellt nätverk. Om du vill veta mer om tjänstslutpunkter går du till Översikt över tjänstslutpunkter och Hantera undernät.

Om du har flera virtuella nätverk i ditt konto kanske du vill upprätta en anslutning mellan dem så att resurserna kan kommunicera med varandra. Om du vill lära dig mer om att ansluta virtuella nätverk går du vidare till nästa självstudie.

Ansluta virtuella nätverk