Öğretici: Azure portalını kullanarak sanal ağ hizmet uç noktaları ile PaaS kaynaklarına ağ erişimini kısıtlama

Sanal ağ hizmet uç noktaları bazı Azure hizmet uç noktalarına ağ erişimini bir sanal ağ alt ağı ile sınırlamanıza olanak tanır. Ayrıca, kaynaklara internet erişimini de kaldırabilirsiniz. Hizmet uç noktaları, sanal ağınızdan desteklenen Azure hizmetlerine doğrudan bağlantı sağlar, böylece Azure hizmetlerine erişmek için sanal ağınızın özel adres alanını kullanabilirsiniz. Hizmet uç noktaları aracılığıyla Azure kaynaklarına gönderilen trafik her zaman Microsoft Azure omurga ağı üzerinde kalır.

Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Alt ağ ile sanal ağ oluşturma
  • Alt ağ ekleme ve hizmet uç noktasını etkinleştirme
  • Azure kaynağı oluşturma ve yalnızca bir alt ağdan ağ erişimine izin verme
  • Her alt ağa bir sanal makine (VM) dağıtma
  • Bir alt ağdan kaynağa erişimi onaylama
  • Bir alt ağdan ve internetten kaynağa erişimin reddedildiğini onaylama

Bu öğreticide Azure portal kullanılır. Azure CLI veya PowerShell kullanarak da tamamlayabilirsiniz.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Önkoşullar

  • Bir Azure aboneliği

Azure'da oturum açma

Azure Portal’ında oturum açın.

Sanal ağ oluşturma

  1. Azure portal menüsünden + Kaynak oluştur'u seçin.

  2. Sanal Ağ arayın ve Oluştur'u seçin.

    Kaynak oluşturma sayfasında sanal ağ aramasının ekran görüntüsü.

  3. Temel Bilgiler sekmesinde aşağıdaki bilgileri girin ve İleri: IP Adresleri >'ni seçin.

    Ayar Değer
    Abonelik Aboneliğinizi seçin.
    Kaynak grubu Yeni oluştur’u seçin ve myResourceGroup değerini girin.
    Name myVirtualNetwork girin.
    Region Doğu ABD'yi seçin

    Sanal ağ oluşturmak için temel bilgiler sekmesinin ekran görüntüsü.

  4. IP Adresleri sekmesinde aşağıdaki IP adresi ayarlarını seçin ve ardından Gözden geçir ve oluştur'u seçin.

    Ayar Değer
    IPv4 adres alanı Varsayılan değerde bırakın.
    Alt ağ adı Varsayılan'ı seçin ve alt ağ adını "Genel" olarak değiştirin.
    Alt Ağ Adres Aralığı Varsayılan değerde bırakın.

    Sanal ağ oluşturmak için IP adresleri sekmesinin ekran görüntüsü.

  5. Doğrulama denetimleri başarılı olursa Oluştur'u seçin.

  6. Dağıtımın tamamlanmasını bekleyin, ardından Kaynağa git'i seçin veya sonraki bölüme geçin.

Hizmet uç noktasını girin

Hizmet uç noktaları her hizmet ve her alt ağ için etkinleştirilir. Alt ağ oluşturmak ve alt ağ için hizmet uç noktasını etkinleştirmek için:

  1. Henüz sanal ağ kaynağı sayfasında değilseniz, portalın üst kısmındaki kutuda yeni oluşturulan sanal ağı arayabilirsiniz. myVirtualNetwork yazın ve listeden seçin.

  2. Ayarlar'ın altında Alt Ağlar'ı ve ardından gösterildiği gibi + Alt Ağ'ı seçin:

    Var olan bir sanal ağa alt ağ ekleme ekran görüntüsü.

  3. Alt ağ ekle sayfasında aşağıdaki bilgileri girin veya seçin ve ardından Kaydet'i seçin:

    Ayar Değer
    Adı Özel
    Alt ağ adres aralığı Varsayılan olarak bırakın
    Hizmet uç noktaları Microsoft.Storage'ı seçin
    Hizmet uç noktası ilkeleri Varsayılan olarak bırakın. 0 seçildi.

    Hizmet uç noktalarının yapılandırıldığı alt ağ ekleme sayfasının ekran görüntüsü.

Dikkat

İçinde kaynaklar bulunan mevcut alt ağ için hizmet uç noktasını etkinleştirmeden önce, bkz. Alt ağ ayarlarını değiştirme.

Bir kaynak için ağ erişimini kısıtlama

Varsayılan olarak, bir alt ağdaki tüm sanal makine örnekleri herhangi bir kaynakla iletişim kurabilir. Bir ağ güvenlik grubu oluşturup alt ağ ile ilişkilendirerek alt ağdaki tüm kaynaklardan gelen ve gelen iletişimi sınırlayabilirsiniz:

  1. Azure portal üst kısmındaki arama kutusunda Ağ güvenlik grupları'nı arayın.

    Ağ güvenlik gruplarını arama işleminin ekran görüntüsü.

  2. Ağ güvenlik grupları sayfasında + Oluştur'u seçin.

    Ağ güvenlik grupları giriş sayfasının ekran görüntüsü.

  3. Aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Listeden myResourceGroup öğesini seçin
    Name myNsgPrivate girin
    Konum Doğu ABD'yi seçin
  4. Gözden geçir ve oluştur'u seçin ve doğrulama denetimi geçirildiğinde Oluştur'u seçin.

    Ağ güvenlik grubu oluşturma sayfasının ekran görüntüsü.

  5. Ağ güvenlik grubu oluşturulduktan sonra Kaynağa git'i seçin veya Azure portal üst kısmında myNsgPrivate araması yapın.

  6. Ayarlar'ın altında Giden güvenlik kuralları'nı ve ardından + Ekle'yi seçin.

    Giden güvenlik kuralı ekleme ekran görüntüsü.

  7. Azure Depolama hizmetine giden iletişime izin veren bir kural oluşturun. Aşağıdaki bilgileri girin veya seçin ve ardından Ekle seçeneğini belirleyin:

    Ayar Değer
    Kaynak Hizmet Etiketi’ni seçin
    Kaynak hizmeti etiketi VirtualNetwork öğesini seçin
    Kaynak bağlantı noktası aralıkları *
    Hedef Hizmet Etiketi’ni seçin
    Hedef hizmet etiketi Depolama'yı seçin
    Hizmet Varsayılan değeri Özel olarak bırakın.
    Hedef bağlantı noktası aralıkları 445 olarak değiştirin. SMB protokolü, sonraki bir adımda oluşturulan bir dosya paylaşımına bağlanmak için kullanılır.
    Protokol Herhangi bir
    Eylem İzin Ver
    Öncelik 100
    Ad Allow-Storage-All olarak yeniden adlandırın

    Depolama alanına erişmek için giden güvenlik oluşturma işleminin ekran görüntüsü.

  8. İnternet bağlantısını reddeden başka bir giden güvenlik kuralı oluşturun. Bu kural, giden İnternet iletişimine izin veren tüm ağ güvenlik gruplarında varsayılan kuralı geçersiz kılar. Aşağıdaki değerleri kullanarak yukarıdaki 6-9 arası adımları tamamlayın ve Ekle'yi seçin:

    Ayar Değer
    Kaynak Hizmet Etiketi’ni seçin
    Kaynak hizmeti etiketi VirtualNetwork öğesini seçin
    Kaynak bağlantı noktası aralıkları *
    Hedef Hizmet Etiketi’ni seçin
    Hedef hizmet etiketi İnternet’i seçin
    Hizmet Varsayılan değeri Özel olarak bırakın.
    Hedef bağlantı noktası aralıkları *
    Protokol Herhangi bir
    Eylem Varsayılanı Reddet olarak değiştirin.
    Öncelik 110
    Name Tümünü Reddet olarak değiştir

    İnternet erişimini engellemek için giden güvenlik oluşturma işleminin ekran görüntüsü.

  9. Alt ağa her yerden Uzak Masaüstü Protokolü (RDP) trafiğine izin veren bir gelen güvenlik kuralı oluşturun. Kural, internetten gelen tüm trafiği engelleyen bir varsayılan güvenlik kuralını geçersiz kılar. Daha sonraki bir adımda bağlantının test edilebilmesi için uzak masaüstü bağlantılarına izin verilir. Ayarlar'ın altında Gelen güvenlik kuralları'nı ve ardından + Ekle'yi seçin.

    Gelen güvenlik kuralı ekleme ekran görüntüsü.

  10. Aşağıdaki değerleri girin veya seçin ve ardından Ekle'yi seçin.

    Ayar Değer
    Kaynak Herhangi bir
    Kaynak bağlantı noktası aralıkları *
    Hedef Hizmet Etiketi’ni seçin
    Hedef hizmet etiketi VirtualNetwork öğesini seçin
    Hizmet Varsayılan değeri Özel olarak bırakın.
    Hedef bağlantı noktası aralıkları 3389 olarak değiştir
    Protokol Herhangi bir
    Eylem İzin Ver
    Öncelik 120
    Name Tümüne RDP'ye İzin Ver olarak değiştir

    Gelen uzak masaüstüne izin ver kuralı oluşturma işleminin ekran görüntüsü.

    Uyarı

    RDP bağlantı noktası 3389 İnternet'e açıktır. Bu yalnızca test için önerilir. Üretim ortamları için VPN veya özel bağlantı kullanmanızı öneririz.

  11. Ayarlar'ın altında Alt ağlar'ı ve ardından + İlişkile'yi seçin.

    Ağ güvenlik grupları alt ağ ilişkilendirme sayfasının ekran görüntüsü.

  12. Sanal Ağ altında myVirtualNetwork öğesini ve ardından Alt ağlar'ın altında Özel'i seçin. Ağ güvenlik grubunu seçili alt ağ ile ilişkilendirmek için Tamam'ı seçin.

    Ağ güvenlik grubunu özel bir alt ağ ile ilişkilendirme işleminin ekran görüntüsü.

Bir kaynağa ağ erişimini kısıtlama

Hizmet uç noktaları için etkinleştirilen Azure hizmetleri aracılığıyla oluşturulan kaynaklara ağ erişimini kısıtlamak için gereken adımlar hizmetler arasında farklılık gösterir. Bir hizmete yönelik belirli adımlar için ilgili hizmetin belgelerine bakın. Bu öğreticinin geri kalanında, örnek olarak bir Azure Depolama hesabı için ağ erişimini kısıtlama adımları yer almaktadır.

Depolama hesabı oluşturma

  1. Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.

  2. Arama çubuğuna "Depolama hesabı" yazın ve açılan menüden seçin. Ardından Oluştur’u seçin.

  3. Aşağıdaki bilgileri girin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu myResourceGroup öğesini seçin
    Depolama hesabı adı Tüm Azure konumları arasında benzersiz bir ad girin. Adın uzunluğu yalnızca sayılar ve küçük harfler kullanılarak 3-24 karakter arasında olmalıdır.
    Region (ABD) Doğu ABD'yi seçin
    Performans Standart
    Yedeklilik Yerel olarak yedekli depolama (LRS)

    Yeni depolama hesabı oluşturma ekran görüntüsü.

  4. Oluştur + gözden geçir'i seçin ve doğrulama denetimleri geçtiğinde Oluştur'u seçin.

    Not

    Dağıtımın tamamlanması birkaç dakika sürebilir.

  5. Depolama hesabı oluşturulduktan sonra Kaynağa git'i seçin.

Depolama hesabında dosya paylaşımı oluşturma

  1. Veri depolama'nın altında Dosya paylaşımları'ı ve ardından + Dosya paylaşımı'yı seçin.

    Depolama hesabındaki dosya paylaşımı sayfasının ekran görüntüsü.

  2. Dosya paylaşımı için aşağıdaki değerleri girin veya ayarlayın ve oluştur'u seçin:

    Ayar Değer
    Adı my-file-share
    Kota Maksimuma ayarla'yı seçin.
    Katman İşlem için iyileştirilmiş olarak varsayılan olarak bırakın.

    Yeni dosya paylaşımı ayarları oluştur sayfasının ekran görüntüsü.

  3. Yeni dosya paylaşımı, sayfanın üst kısmındaki Yenile düğmesini seçmezseniz dosya paylaşımı sayfasında görünmelidir.

Bir alt ağa erişimi kısıtlama

Varsayılan olarak, depolama hesapları İnternet de dahil olmak üzere herhangi bir ağdaki istemcilerden gelen ağ bağlantılarını kabul eder. İnternet'ten ve tüm sanal ağlardaki diğer tüm alt ağlardan ağ erişimini kısıtlayabilirsiniz (myVirtualNetwork sanal ağındaki Özel alt ağ hariç).) Bir alt ağa ağ erişimini kısıtlamak için:

  1. (Benzersiz olarak adlandırılmış) depolama hesabınız için Ayarlar'ın altında Ağ'ı seçin.

  2. Seçili ağlardan erişime izin ver'i ve ardından + Var olan sanal ağı ekle'yi seçin.

    Depolama hesabı ağ ayarları sayfasının ekran görüntüsü.

  3. Ağ ekle altında aşağıdaki değerleri ve sonra Ekle’yi seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Sanal ağlar myVirtualNetwork
    Alt ağlar Özel

    Depolama hesabına sanal ağ ekleme sayfasının ekran görüntüsü.

  4. Sanal ağ yapılandırmalarını kaydetmek için Kaydet düğmesini seçin.

  5. Depolama hesabı için Güvenlik + ağ altında Erişim anahtarları'nı ve ardından Anahtarları göster'i seçin. Bir VM'de dosya paylaşımını eşlerken sonraki bir adımda kullanılacak key1 değerini not edin.

    Depolama hesabı anahtarının ve bağlantı dizelerinin ekran görüntüsü.

Sanal makineler oluşturma

Bir depolama hesabına ağ erişimini test etmek için her alt ağa bir VM dağıtın.

İlk sanal makineyi oluşturma

  1. Azure portal + Kaynak oluştur'u seçin.

  2. İşlem'i ve ardından Sanal makine'nin altında Oluştur'u seçin.

  3. Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Daha önce oluşturulmuş olan myResourceGroup öğesini seçin.
    Sanal makine adı myVmPublic girin
    Region (ABD) Doğu ABD
    Kullanılabilirlik seçenekleri Kullanılabilirlik alanı
    Kullanılabilirlik alanı 1
    Görüntü bir işletim sistemi görüntüsü seçin. Bu VM için Windows Server 2019 Datacenter - 1. Nesil seçilidir.
    Boyut Kullanmak istediğiniz VM Örneği boyutunu seçin
    Kullanıcı adı Seçtiğiniz bir kullanıcı adını girin.
    Parola Seçtiğiniz bir parolayı girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanan karmaşıklık gereksinimlerini karşılamalıdır.
    Genel gelen bağlantı noktaları Seçili bağlantı noktalarına izin ver
    Gelen bağlantı noktalarını seçin Varsayılan ayarı RDP olarak bırakın (3389)

    Genel sanal makine ayarları oluşturma ekran görüntüsü.

  4. sekmesinde aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Sanal Ağ myVirtualNetwork öğesini seçin.
    Alt ağ Genel’i seçin.
    NIC ağ güvenlik grubu Gelişmiş'i seçin. Portal sizin için 3389 numaralı bağlantı noktasına izin veren bir ağ güvenlik grubunu otomatik olarak oluşturur. Sonraki bir adımda sanal makineye bağlanmak için bu bağlantı noktasının açık olması gerekir.

    Genel sanal makine ağ ayarlarını oluşturma ekran görüntüsü.

  5. Gözden geçir ve oluştur'u seçin, ardından Oluştur'u seçin ve dağıtımın tamamlanmasını bekleyin.

  6. Kaynağa git'i seçin veya Giriş > Sanal makineleri sayfasını açın ve yeni oluşturduğunuz myVmPublic adlı vm'yi seçin. Bu vm başlatılmalıdır.

İkinci sanal makineyi oluşturma

  1. İkinci bir sanal makine oluşturmak için 1-5 arası adımları yineleyin. 3. adımda sanal makineyi myVmPrivate olarak adlandırın ve NIC ağ güvenlik grubunuYok olarak ayarlayın. 4. adımda Özel alt ağı seçin.

    Özel sanal makine ağ ayarları oluşturma ekran görüntüsü.

  2. Gözden geçir ve oluştur'u seçin, ardından Oluştur'u seçin ve dağıtımın tamamlanmasını bekleyin.

    Uyarı

    Dağıtım tamamlanana kadar sonraki adıma geçmeyin.

  3. Kaynağa git'i seçin veya Giriş > Sanal makineleri sayfasını açın ve yeni oluşturduğunuz myVmPrivate adlı vm'yi seçin. Bu vm başlatılmalıdır.

Depolama hesabına erişimi onaylama

  1. myVmPrivate VM oluşturulduktan sonra sanal makinenin genel bakış sayfasına gidin. Bağlan düğmesini ve ardından açılan listeden RDP'yi seçerek VM'ye bağlanın.

    Özel sanal makine için bağlan düğmesinin ekran görüntüsü.

  2. Uzak masaüstü dosyasını bilgisayarınıza indirmek için RDP Dosyasını İndir'i seçin.

    Özel sanal makine için RDP dosyasını indirme işleminin ekran görüntüsü.

  3. İndirilen rdp dosyasını açın. İstendiğinde Bağlan'ı seçin.

    Özel sanal makine için bağlantı ekranının ekran görüntüsü.

  4. Sanal makine oluştururken belirttiğiniz kullanıcı adını ve parolayı girin. Diğer seçenekler'i ve ardından VM'yi oluştururken girdiğiniz kimlik bilgilerini belirtmek için farklı bir hesap kullanın'ı seçmeniz gerekebilir. E-posta alanı için daha önce belirttiğiniz "Yönetici hesabı: kullanıcı adı" kimlik bilgilerini girin. VM'de oturum açmak için Tamam'ı seçin.

    Özel sanal makine için kimlik bilgisi ekranının ekran görüntüsü.

    Not

    Oturum açma işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarıyı alırsanız, bağlantıya devam etmek için Evet veya Devam'ı seçin.

  5. Oturum açtıktan sonra Windows PowerShell açın. Aşağıdaki betiği kullanarak Azure dosya paylaşımını PowerShell kullanarak Z sürücüsüne eşleyin. ve değişkenlerini<storage-account-name>, depolama hesabı oluşturma adımlarında daha önce sağladığınız ve not ettiğiniz değerlerle değiştirin<storage-account-key>.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential
    

    PowerShell aşağıdaki örnek çıktıya benzer bir çıktı döndürür:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...
    

    Z sürücüsüne başarıyla eşlenen Azure dosya paylaşımı.

  6. myVmPrivate VM ile uzak masaüstü oturumunu kapatın.

Depolama hesabına erişimin reddedildiğini onaylama

myVmPublic'ten:

  1. Portalın üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myVmPublic yazın. Arama sonuçlarında myVmPublic göründüğünde seçin.

  2. Yukarıdaki 1-5 arası adımları myVmPublic VM için depolama hesabına erişimi onaylama bölümünde yineleyin.

    Kısa süre bekledikten sonra bir New-PSDrive : Access is denied hatası alırsınız. myVmPublic VM Genel alt ağa dağıtıldığı için erişim reddedilir. Genel alt ağda Azure Depolama için etkinleştirilmiş bir hizmet uç noktası yoktur. Depolama hesabı yalnızca Özel alt ağdan ağ erişimine izin verir; Genel alt ağdan erişime izin vermez.

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
        + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    
    
  3. myVmPublic VM ile uzak masaüstü oturumunu kapatın.

Yerel makineden:

  1. Azure portal, daha önce oluşturduğunuz benzersiz adlandırılmış depolama hesabına gidin. Örneğin, mystorage007.

  2. Veri depolama altında Dosya paylaşımları'nı ve ardından daha önce oluşturduğunuz my-file-share öğesini seçin.

  3. Aşağıdaki hata iletisini almanız gerekir:

    Erişim reddedildi hata iletisinin ekran görüntüsü.

Not

Bilgisayarınız MyVirtualNetwork sanal ağının Özel alt ağında olmadığından erişim reddedildi.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:

  1. Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.

  2. Kaynak grubunu sil'i seçin.

  3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.

Sonraki adımlar

Bu öğreticide bir sanal ağ alt ağı için hizmet uç noktası etkinleştirdiniz. Hizmet uç noktalarını birden fazla Azure hizmetinden dağıtılmış kaynaklar için etkinleştirebileceğinizi öğrendiniz. Bir Azure Depolama hesabı oluşturdunuz ve depolama hesabına ağ erişimini yalnızca sanal ağ alt ağı içindeki kaynaklarda kısıtlamıştınız. Hizmet uç noktaları hakkında daha fazla bilgi için bkz. Hizmet uç noktalarına genel bakış ve Alt ağları yönetme.

Hesabınızda birden çok sanal ağ varsa, kaynakların birbiriyle iletişim kurabilmesi için bunlar arasında bağlantı kurmak isteyebilirsiniz. Sanal ağları bağlama hakkında bilgi almak için sonraki öğreticiye ilerleyin.