Öğretici: Azure portalını kullanarak sanal ağ hizmet uç noktaları ile PaaS kaynaklarına ağ erişimini kısıtlama
Sanal ağ hizmet uç noktaları bazı Azure hizmet uç noktalarına ağ erişimini bir sanal ağ alt ağı ile sınırlamanıza olanak tanır. Ayrıca, kaynaklara internet erişimini de kaldırabilirsiniz. Hizmet uç noktaları, sanal ağınızdan desteklenen Azure hizmetlerine doğrudan bağlantı sağlar, böylece Azure hizmetlerine erişmek için sanal ağınızın özel adres alanını kullanabilirsiniz. Hizmet uç noktaları aracılığıyla Azure kaynaklarına gönderilen trafik her zaman Microsoft Azure omurga ağı üzerinde kalır.
Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:
- Alt ağ ile sanal ağ oluşturma
- Alt ağ ekleme ve hizmet uç noktasını etkinleştirme
- Azure kaynağı oluşturma ve yalnızca bir alt ağdan ağ erişimine izin verme
- Her alt ağa bir sanal makine (VM) dağıtma
- Bir alt ağdan kaynağa erişimi onaylama
- Bir alt ağdan ve internetten kaynağa erişimin reddedildiğini onaylama
Bu öğreticide Azure portal kullanılır. Azure CLI veya PowerShell kullanarak da tamamlayabilirsiniz.
Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.
Önkoşullar
- Bir Azure aboneliği
Azure'da oturum açma
Azure Portal’ında oturum açın.
Sanal ağ oluşturma
Azure portal menüsünden + Kaynak oluştur'u seçin.
Sanal Ağ arayın ve Oluştur'u seçin.
Temel Bilgiler sekmesinde aşağıdaki bilgileri girin ve İleri: IP Adresleri >'ni seçin.
Ayar Değer Abonelik Aboneliğinizi seçin. Kaynak grubu Yeni oluştur’u seçin ve myResourceGroup değerini girin. Name myVirtualNetwork girin. Region Doğu ABD'yi seçin 
IP Adresleri sekmesinde aşağıdaki IP adresi ayarlarını seçin ve ardından Gözden geçir ve oluştur'u seçin.
Ayar Değer IPv4 adres alanı Varsayılan değerde bırakın. Alt ağ adı Varsayılan'ı seçin ve alt ağ adını "Genel" olarak değiştirin. Alt Ağ Adres Aralığı Varsayılan değerde bırakın. 
Doğrulama denetimleri başarılı olursa Oluştur'u seçin.
Dağıtımın tamamlanmasını bekleyin, ardından Kaynağa git'i seçin veya sonraki bölüme geçin.
Hizmet uç noktasını girin
Hizmet uç noktaları her hizmet ve her alt ağ için etkinleştirilir. Alt ağ oluşturmak ve alt ağ için hizmet uç noktasını etkinleştirmek için:
Henüz sanal ağ kaynağı sayfasında değilseniz, portalın üst kısmındaki kutuda yeni oluşturulan sanal ağı arayabilirsiniz. myVirtualNetwork yazın ve listeden seçin.
Ayarlar'ın altında Alt Ağlar'ı ve ardından gösterildiği gibi + Alt Ağ'ı seçin:
Alt ağ ekle sayfasında aşağıdaki bilgileri girin veya seçin ve ardından Kaydet'i seçin:
Ayar Değer Adı Özel Alt ağ adres aralığı Varsayılan olarak bırakın Hizmet uç noktaları Microsoft.Storage'ı seçin Hizmet uç noktası ilkeleri Varsayılan olarak bırakın. 0 seçildi. 
Dikkat
İçinde kaynaklar bulunan mevcut alt ağ için hizmet uç noktasını etkinleştirmeden önce, bkz. Alt ağ ayarlarını değiştirme.
Bir kaynak için ağ erişimini kısıtlama
Varsayılan olarak, bir alt ağdaki tüm sanal makine örnekleri herhangi bir kaynakla iletişim kurabilir. Bir ağ güvenlik grubu oluşturup alt ağ ile ilişkilendirerek alt ağdaki tüm kaynaklardan gelen ve gelen iletişimi sınırlayabilirsiniz:
Azure portal üst kısmındaki arama kutusunda Ağ güvenlik grupları'nı arayın.
Ağ güvenlik grupları sayfasında + Oluştur'u seçin.
Aşağıdaki bilgileri girin veya seçin:
Ayar Değer Abonelik Aboneliğinizi seçin Kaynak grubu Listeden myResourceGroup öğesini seçin Name myNsgPrivate girin Konum Doğu ABD'yi seçin Gözden geçir ve oluştur'u seçin ve doğrulama denetimi geçirildiğinde Oluştur'u seçin.
Ağ güvenlik grubu oluşturulduktan sonra Kaynağa git'i seçin veya Azure portal üst kısmında myNsgPrivate araması yapın.
Ayarlar'ın altında Giden güvenlik kuralları'nı ve ardından + Ekle'yi seçin.
Azure Depolama hizmetine giden iletişime izin veren bir kural oluşturun. Aşağıdaki bilgileri girin veya seçin ve ardından Ekle seçeneğini belirleyin:
Ayar Değer Kaynak Hizmet Etiketi’ni seçin Kaynak hizmeti etiketi VirtualNetwork öğesini seçin Kaynak bağlantı noktası aralıkları * Hedef Hizmet Etiketi’ni seçin Hedef hizmet etiketi Depolama'yı seçin Hizmet Varsayılan değeri Özel olarak bırakın. Hedef bağlantı noktası aralıkları 445 olarak değiştirin. SMB protokolü, sonraki bir adımda oluşturulan bir dosya paylaşımına bağlanmak için kullanılır. Protokol Herhangi bir Eylem İzin Ver Öncelik 100 Ad Allow-Storage-All olarak yeniden adlandırın 
İnternet bağlantısını reddeden başka bir giden güvenlik kuralı oluşturun. Bu kural, giden İnternet iletişimine izin veren tüm ağ güvenlik gruplarında varsayılan kuralı geçersiz kılar. Aşağıdaki değerleri kullanarak yukarıdaki 6-9 arası adımları tamamlayın ve Ekle'yi seçin:
Ayar Değer Kaynak Hizmet Etiketi’ni seçin Kaynak hizmeti etiketi VirtualNetwork öğesini seçin Kaynak bağlantı noktası aralıkları * Hedef Hizmet Etiketi’ni seçin Hedef hizmet etiketi İnternet’i seçin Hizmet Varsayılan değeri Özel olarak bırakın. Hedef bağlantı noktası aralıkları * Protokol Herhangi bir Eylem Varsayılanı Reddet olarak değiştirin. Öncelik 110 Name Tümünü Reddet olarak değiştir 
Alt ağa her yerden Uzak Masaüstü Protokolü (RDP) trafiğine izin veren bir gelen güvenlik kuralı oluşturun. Kural, internetten gelen tüm trafiği engelleyen bir varsayılan güvenlik kuralını geçersiz kılar. Daha sonraki bir adımda bağlantının test edilebilmesi için uzak masaüstü bağlantılarına izin verilir. Ayarlar'ın altında Gelen güvenlik kuralları'nı ve ardından + Ekle'yi seçin.
Aşağıdaki değerleri girin veya seçin ve ardından Ekle'yi seçin.
Ayar Değer Kaynak Herhangi bir Kaynak bağlantı noktası aralıkları * Hedef Hizmet Etiketi’ni seçin Hedef hizmet etiketi VirtualNetwork öğesini seçin Hizmet Varsayılan değeri Özel olarak bırakın. Hedef bağlantı noktası aralıkları 3389 olarak değiştir Protokol Herhangi bir Eylem İzin Ver Öncelik 120 Name Tümüne RDP'ye İzin Ver olarak değiştir 
Uyarı
RDP bağlantı noktası 3389 İnternet'e açıktır. Bu yalnızca test için önerilir. Üretim ortamları için VPN veya özel bağlantı kullanmanızı öneririz.
Ayarlar'ın altında Alt ağlar'ı ve ardından + İlişkile'yi seçin.
Sanal Ağ altında myVirtualNetwork öğesini ve ardından Alt ağlar'ın altında Özel'i seçin. Ağ güvenlik grubunu seçili alt ağ ile ilişkilendirmek için Tamam'ı seçin.
Bir kaynağa ağ erişimini kısıtlama
Hizmet uç noktaları için etkinleştirilen Azure hizmetleri aracılığıyla oluşturulan kaynaklara ağ erişimini kısıtlamak için gereken adımlar hizmetler arasında farklılık gösterir. Bir hizmete yönelik belirli adımlar için ilgili hizmetin belgelerine bakın. Bu öğreticinin geri kalanında, örnek olarak bir Azure Depolama hesabı için ağ erişimini kısıtlama adımları yer almaktadır.
Depolama hesabı oluşturma
Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.
Arama çubuğuna "Depolama hesabı" yazın ve açılan menüden seçin. Ardından Oluştur’u seçin.
Aşağıdaki bilgileri girin:
Ayar Değer Abonelik Aboneliğinizi seçin Kaynak grubu myResourceGroup öğesini seçin Depolama hesabı adı Tüm Azure konumları arasında benzersiz bir ad girin. Adın uzunluğu yalnızca sayılar ve küçük harfler kullanılarak 3-24 karakter arasında olmalıdır. Region (ABD) Doğu ABD'yi seçin Performans Standart Yedeklilik Yerel olarak yedekli depolama (LRS) 
Oluştur + gözden geçir'i seçin ve doğrulama denetimleri geçtiğinde Oluştur'u seçin.
Not
Dağıtımın tamamlanması birkaç dakika sürebilir.
Depolama hesabı oluşturulduktan sonra Kaynağa git'i seçin.
Depolama hesabında dosya paylaşımı oluşturma
Veri depolama'nın altında Dosya paylaşımları'ı ve ardından + Dosya paylaşımı'yı seçin.
Dosya paylaşımı için aşağıdaki değerleri girin veya ayarlayın ve oluştur'u seçin:
Ayar Değer Adı my-file-share Kota Maksimuma ayarla'yı seçin. Katman İşlem için iyileştirilmiş olarak varsayılan olarak bırakın. 
Yeni dosya paylaşımı, sayfanın üst kısmındaki Yenile düğmesini seçmezseniz dosya paylaşımı sayfasında görünmelidir.
Bir alt ağa erişimi kısıtlama
Varsayılan olarak, depolama hesapları İnternet de dahil olmak üzere herhangi bir ağdaki istemcilerden gelen ağ bağlantılarını kabul eder. İnternet'ten ve tüm sanal ağlardaki diğer tüm alt ağlardan ağ erişimini kısıtlayabilirsiniz (myVirtualNetwork sanal ağındaki Özel alt ağ hariç).) Bir alt ağa ağ erişimini kısıtlamak için:
(Benzersiz olarak adlandırılmış) depolama hesabınız için Ayarlar'ın altında Ağ'ı seçin.
Seçili ağlardan erişime izin ver'i ve ardından + Var olan sanal ağı ekle'yi seçin.
Ağ ekle altında aşağıdaki değerleri ve sonra Ekle’yi seçin:
Ayar Değer Abonelik Aboneliğinizi seçin Sanal ağlar myVirtualNetwork Alt ağlar Özel 
Sanal ağ yapılandırmalarını kaydetmek için Kaydet düğmesini seçin.
Depolama hesabı için Güvenlik + ağ altında Erişim anahtarları'nı ve ardından Anahtarları göster'i seçin. Bir VM'de dosya paylaşımını eşlerken sonraki bir adımda kullanılacak key1 değerini not edin.
Sanal makineler oluşturma
Bir depolama hesabına ağ erişimini test etmek için her alt ağa bir VM dağıtın.
İlk sanal makineyi oluşturma
Azure portal + Kaynak oluştur'u seçin.
İşlem'i ve ardından Sanal makine'nin altında Oluştur'u seçin.
Temel Bilgiler sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Değer Abonelik Aboneliğinizi seçin Kaynak grubu Daha önce oluşturulmuş olan myResourceGroup öğesini seçin. Sanal makine adı myVmPublic girin Region (ABD) Doğu ABD Kullanılabilirlik seçenekleri Kullanılabilirlik alanı Kullanılabilirlik alanı 1 Görüntü bir işletim sistemi görüntüsü seçin. Bu VM için Windows Server 2019 Datacenter - 1. Nesil seçilidir. Boyut Kullanmak istediğiniz VM Örneği boyutunu seçin Kullanıcı adı Seçtiğiniz bir kullanıcı adını girin. Parola Seçtiğiniz bir parolayı girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanan karmaşıklık gereksinimlerini karşılamalıdır. Genel gelen bağlantı noktaları Seçili bağlantı noktalarına izin ver Gelen bağlantı noktalarını seçin Varsayılan ayarı RDP olarak bırakın (3389) 
Ağ sekmesinde aşağıdaki bilgileri girin veya seçin:
Ayar Değer Sanal Ağ myVirtualNetwork öğesini seçin. Alt ağ Genel’i seçin. NIC ağ güvenlik grubu Gelişmiş'i seçin. Portal sizin için 3389 numaralı bağlantı noktasına izin veren bir ağ güvenlik grubunu otomatik olarak oluşturur. Sonraki bir adımda sanal makineye bağlanmak için bu bağlantı noktasının açık olması gerekir. 
Gözden geçir ve oluştur'u seçin, ardından Oluştur'u seçin ve dağıtımın tamamlanmasını bekleyin.
Kaynağa git'i seçin veya Giriş > Sanal makineleri sayfasını açın ve yeni oluşturduğunuz myVmPublic adlı vm'yi seçin. Bu vm başlatılmalıdır.
İkinci sanal makineyi oluşturma
İkinci bir sanal makine oluşturmak için 1-5 arası adımları yineleyin. 3. adımda sanal makineyi myVmPrivate olarak adlandırın ve NIC ağ güvenlik grubunuYok olarak ayarlayın. 4. adımda Özel alt ağı seçin.
Gözden geçir ve oluştur'u seçin, ardından Oluştur'u seçin ve dağıtımın tamamlanmasını bekleyin.
Uyarı
Dağıtım tamamlanana kadar sonraki adıma geçmeyin.
Kaynağa git'i seçin veya Giriş > Sanal makineleri sayfasını açın ve yeni oluşturduğunuz myVmPrivate adlı vm'yi seçin. Bu vm başlatılmalıdır.
Depolama hesabına erişimi onaylama
myVmPrivate VM oluşturulduktan sonra sanal makinenin genel bakış sayfasına gidin. Bağlan düğmesini ve ardından açılan listeden RDP'yi seçerek VM'ye bağlanın.
Uzak masaüstü dosyasını bilgisayarınıza indirmek için RDP Dosyasını İndir'i seçin.
İndirilen rdp dosyasını açın. İstendiğinde Bağlan'ı seçin.
Sanal makine oluştururken belirttiğiniz kullanıcı adını ve parolayı girin. Diğer seçenekler'i ve ardından VM'yi oluştururken girdiğiniz kimlik bilgilerini belirtmek için farklı bir hesap kullanın'ı seçmeniz gerekebilir. E-posta alanı için daha önce belirttiğiniz "Yönetici hesabı: kullanıcı adı" kimlik bilgilerini girin. VM'de oturum açmak için Tamam'ı seçin.
Not
Oturum açma işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarıyı alırsanız, bağlantıya devam etmek için Evet veya Devam'ı seçin.
Oturum açtıktan sonra Windows PowerShell açın. Aşağıdaki betiği kullanarak Azure dosya paylaşımını PowerShell kullanarak Z sürücüsüne eşleyin. ve değişkenlerini
<storage-account-name>, depolama hesabı oluşturma adımlarında daha önce sağladığınız ve not ettiğiniz değerlerle değiştirin<storage-account-key>.$acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force $credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credentialPowerShell aşağıdaki örnek çıktıya benzer bir çıktı döndürür:
Name Used (GB) Free (GB) Provider Root ---- --------- --------- -------- ---- Z FileSystem \\mystorage007.file.core.windows.net\my-f...Z sürücüsüne başarıyla eşlenen Azure dosya paylaşımı.
myVmPrivate VM ile uzak masaüstü oturumunu kapatın.
Depolama hesabına erişimin reddedildiğini onaylama
myVmPublic'ten:
Portalın üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myVmPublic yazın. Arama sonuçlarında myVmPublic göründüğünde seçin.
Yukarıdaki 1-5 arası adımları myVmPublic VM için depolama hesabına erişimi onaylama bölümünde yineleyin.
Kısa süre bekledikten sonra bir
New-PSDrive : Access is deniedhatası alırsınız. myVmPublic VM Genel alt ağa dağıtıldığı için erişim reddedilir. Genel alt ağda Azure Depolama için etkinleştirilmiş bir hizmet uç noktası yoktur. Depolama hesabı yalnızca Özel alt ağdan ağ erişimine izin verir; Genel alt ağdan erişime izin vermez.New-PSDrive : Access is denied At line:1 char:1 + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommandmyVmPublic VM ile uzak masaüstü oturumunu kapatın.
Yerel makineden:
Azure portal, daha önce oluşturduğunuz benzersiz adlandırılmış depolama hesabına gidin. Örneğin, mystorage007.
Veri depolama altında Dosya paylaşımları'nı ve ardından daha önce oluşturduğunuz my-file-share öğesini seçin.
Aşağıdaki hata iletisini almanız gerekir:
Not
Bilgisayarınız MyVirtualNetwork sanal ağının Özel alt ağında olmadığından erişim reddedildi.
Kaynakları temizleme
Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:
Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.
Kaynak grubunu sil'i seçin.
KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.
Sonraki adımlar
Bu öğreticide bir sanal ağ alt ağı için hizmet uç noktası etkinleştirdiniz. Hizmet uç noktalarını birden fazla Azure hizmetinden dağıtılmış kaynaklar için etkinleştirebileceğinizi öğrendiniz. Bir Azure Depolama hesabı oluşturdunuz ve depolama hesabına ağ erişimini yalnızca sanal ağ alt ağı içindeki kaynaklarda kısıtlamıştınız. Hizmet uç noktaları hakkında daha fazla bilgi için bkz. Hizmet uç noktalarına genel bakış ve Alt ağları yönetme.
Hesabınızda birden çok sanal ağ varsa, kaynakların birbiriyle iletişim kurabilmesi için bunlar arasında bağlantı kurmak isteyebilirsiniz. Sanal ağları bağlama hakkında bilgi almak için sonraki öğreticiye ilerleyin.