Öğretici: Azure portalını kullanarak sanal ağ hizmet uç noktaları ile PaaS kaynaklarına ağ erişimini kısıtlama

  • Makale
  • Okumak için 10 dakika

Sanal ağ hizmet uç noktaları bazı Azure hizmet uç noktalarına ağ erişimini bir sanal ağ alt ağı ile sınırlamanıza olanak tanır. Ayrıca, kaynaklara internet erişimini de kaldırabilirsiniz. Hizmet uç noktaları, sanal ağınızdan desteklenen Azure hizmetlerine doğrudan bağlantı sağlar, böylece Azure hizmetlerine erişmek için sanal ağınızın özel adres alanını kullanabilirsiniz. Hizmet uç noktaları aracılığıyla Azure kaynaklarına gönderilen trafik her zaman Microsoft Azure omurga ağı üzerinde kalır. Bu öğreticide şunların nasıl yapıldığını öğreneceksiniz:

  • Alt ağ ile sanal ağ oluşturma
  • Alt ağ ekleme ve hizmet uç noktasını etkinleştirme
  • Azure kaynağı oluşturma ve yalnızca bir alt ağdan ağ erişimine izin verme
  • Her alt ağa bir sanal makine (VM) dağıtma
  • Bir alt ağdan kaynağa erişimi onaylama
  • Bir alt ağdan ve internetten kaynağa erişimin reddedildiğini onaylama

Tercih ederseniz, Azure CLI veya Azure PowerShell kullanarak bu öğreticiyi tamamlayabilirsiniz.

Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

Sanal ağ oluşturma

  1. Azure Portal’ında oturum açın.

  2. Uygulamanın sol üst köşesindeki + Kaynak oluştur'Azure portal. Sanal Ağ'ı ve ardından Oluştur'ı seçin.

    Kaynak oluştur sayfasında sanal ağ arama ekran görüntüsü.

  3. Temel bilgiler sekmesinde, aşağıdaki bilgileri girin ve ardından Sonraki: IP Adresleri'>.

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Yeni oluştur’u seçin ve myResourceGroup değerini girin.
    Name myVirtualNetwork girin
    Region (ABD) Doğu ABD

    Sanal ağ oluşturmak için temel bilgiler sekmesinin ekran görüntüsü.

  4. IP Adresleri sekmesinde aşağıdaki IP adresi ayarlarını seçin ve ardından Gözden geçir ve oluştur'a tıklayın.

    Ayar Değer
    IPv4 adres alanı Varsayılan değerde bırakın.
    Alt ağ adı Varsayılan'ı seçin ve alt ağ adını "Genel" olarak seçin.
    Alt Ağ Adres Aralığı Varsayılan değerde bırakın.

    Sanal ağ oluşturmak için IP adresleri sekmesinin ekran görüntüsü.

  5. Doğrulama denetimleri başarılı olursa Oluştur'a seçin.

  6. Dağıtımın bitip bitip Kaynağa git'i seçin veya sonraki bölüme geçebilirsiniz.

Hizmet uç noktasını girin

Hizmet uç noktaları her hizmet ve her alt ağ için etkinleştirilir. Alt ağ oluşturmak ve alt ağ için bir hizmet uç noktasını etkinleştirmek için:

  1. Henüz sanal ağ kaynağı sayfasında değilken, portalın üst kısmında yer alan kutuda yeni oluşturulan ağı arayabilirsiniz. myVirtualNetwork girin ve listeden seçin.

  2. alt ağlar'ı Ayarlar ve ardından gösterildiği gibi + Alt Ağ'ı seçin:

    Mevcut bir sanal ağa alt ağ ekleme ekran görüntüsü.

  3. Alt ağ ekle sayfasında aşağıdaki bilgileri seçin veya girin ve ardından Kaydet'i seçin:

    Ayar Değer
    Ad Özel
    Alt ağ adres aralığı Varsayılan olarak bırakın
    Hizmet uç noktaları Microsoft.Depolama
    Hizmet uç noktası ilkeleri Varsayılan olarak bırakın. 0 seçildi.

    Hizmet uç noktalarının yapılandırıldığında alt ağ ekle sayfasının ekran görüntüsü.

Dikkat

İçinde kaynaklar bulunan mevcut alt ağ için hizmet uç noktasını etkinleştirmeden önce, bkz. Alt ağ ayarlarını değiştirme.

Bir kaynak için ağ erişimini kısıtlama

Varsayılan olarak, bir alt ağ içinde yer alan tüm sanal makine örnekleri tüm kaynaklarla iletişim kurabilir. Bir ağ güvenlik grubu oluşturarak ve bunu alt ağ ile bağ oluşturarak bir alt ağ içinde yer alan tüm kaynaklarla iletişimi sınırlandırabilirsiniz:

  1. Ağ güvenlik gruplarının üst Azure portal arama kutusuna tıklayın.

    Ağ güvenlik gruplarını arama ekran görüntüsü.

  2. Ağ güvenlik grupları sayfasında + Oluştur'a tıklayın.

    Ağ güvenlik grupları giriş sayfasının ekran görüntüsü.

  3. Aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Listeden myResourceGroup öğesini seçin
    Name myNsgPrivate girin
    Konum Yeni bir Doğu ABD

  4. Gözden geçir + oluştur'a ve doğrulama denetimi başarılı olduğunda Oluştur'a seçin.

    Ağ güvenlik grubu oluşturma sayfasının ekran görüntüsü.

  5. Ağ güvenlik grubu oluşturulduktan sonra Kaynağa git'i seçin veya kaynağın en üstünde myNsgPrivate Azure portal.

  6. Giriş altındaki Giden güvenlik kuralları'Ayarlar ve + Ekle'yi seçin.

    Giden güvenlik kuralı ekleme ekran görüntüsü.

  7. Azure Depolama hizmetine giden iletişime izin veren bir kural oluşturun. Aşağıdaki bilgileri girin veya seçin ve ardından Ekle seçeneğini belirleyin:

    Ayar Değer
    Kaynak VirtualNetwork öğesini seçin
    Kaynak bağlantı noktası aralıkları *
    Hedef Hizmet Etiketi’ni seçin
    Hedef hizmet etiketi Yeni bir Depolama
    Hizmet Varsayılan olarak özel' i bırakın.
    Hedef bağlantı noktası aralıkları 445 olarak değiştirin. SMB protokolü, sonraki bir adımda oluşturulan bir dosya paylaşımıyla bağlantı kurmak için kullanılır.
    Protokol Herhangi bir
    Eylem İzin Ver
    Öncelik 100
    Ad Allow-Depolama-All olarak yeniden adlandır

    Depolamaya erişmek için giden güvenlik oluşturma ekranının ekran görüntüsü.

  8. İnternet bağlantısını reddeden başka bir giden güvenlik kuralı oluşturun. Bu kural, giden İnternet iletişimine izin veren tüm ağ güvenlik gruplarında varsayılan kuralı geçersiz kılar. Aşağıdaki değerleri kullanarak yukarıdaki 6-9 arasındaki adımları tamamladıktan sonra Ekle' yi seçin:

    Ayar Değer
    Kaynak VirtualNetwork öğesini seçin
    Kaynak bağlantı noktası aralıkları *
    Hedef Hizmet Etiketi’ni seçin
    Hedef hizmet etiketi İnternet’i seçin
    Hizmet Varsayılan olarak özel' i bırakın.
    Hedef bağlantı noktası aralıkları *
    Protokol Herhangi bir
    Eylem Varsayılanı Reddet olarak değiştirin.
    Öncelik 110
    Name Reddet-Internet-tümü olarak değiştir

    İnternet erişimini engellemek için giden güvenlik oluşturma ekranının ekran görüntüsü.

  9. Alt ağa her yerden Uzak Masaüstü Protokolü (RDP) trafiğine izin veren bir gelen güvenlik kuralı oluşturun. Kural, internetten gelen tüm trafiği engelleyen bir varsayılan güvenlik kuralını geçersiz kılar. Daha sonraki bir adımda bağlantının test edilebilmesi için uzak masaüstü bağlantılarına izin verilir. Ayarlar altında gelen güvenlik kuralları ' nı seçin ve + ekle' yi seçin.

    Gelen güvenlik kuralı ekleme ekran görüntüsü.

  10. Takip değerlerini girin veya seçin ve ardından Ekle' yi seçin.

    Ayar Değer
    Kaynak Herhangi bir
    Kaynak bağlantı noktası aralıkları *
    Hedef VirtualNetwork öğesini seçin
    Hedef bağlantı noktası aralıkları 3389 olarak değiştirin
    Protokol Herhangi bir
    Eylem İzin Ver
    Öncelik 120
    Name Allow-RDP-All olarak değiştir

    Gelen uzak masaüstü kuralı oluşturma kuralına izin verme ekran görüntüsü.

    Uyarı

    RDP bağlantı noktası 3389, Internet 'e açıktır. Bu yalnızca test için önerilir. Üretim ortamları IÇIN bir VPN veya özel bağlantı kullanmanızı öneririz.

  11. Ayarlar altındaki alt ağları seçin ve ardından + ilişkilendir' i seçin.

    Ağ güvenlik grupları alt ağ ilişkilendirmesi sayfasının ekran görüntüsü.

  12. Sanal ağ altında myVirtualNetwork öğesini seçin ve ardından alt ağlar altında özel ' i seçin. Ağ güvenlik grubunu seçim alt ağıyla ilişkilendirmek için Tamam ' ı seçin.

    Bir ağ güvenlik grubunu özel bir alt ağla ilişkilendirme ekran görüntüsü.

Bir kaynağa ağ erişimini kısıtlama

Hizmet uç noktaları için etkinleştirilen Azure hizmetleri aracılığıyla oluşturulan kaynaklarla ağ erişimini kısıtlamak için gereken adımlar, hizmetler arasında farklılık gösterecektir. Bir hizmete yönelik belirli adımlar için ilgili hizmetin belgelerine bakın. bu öğreticinin geri kalanında bir Azure Depolama hesabına yönelik ağ erişimini bir örnek olarak kısıtlama adımları dahildir.

Depolama hesabı oluşturma

  1. Azure portalının sol üst köşesinde bulunan + Kaynak oluştur seçeneğini belirleyin.

  2. arama çubuğuna "Depolama hesabı" girin ve açılan menüden seçin. Ardından Oluştur’u seçin.

  3. Aşağıdaki bilgileri girin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Myresourcegroup seçin
    Depolama hesabı adı Tüm Azure konumlarında benzersiz olan bir ad girin. Ad, yalnızca rakamlar ve küçük harfler kullanılarak 3-24 karakter uzunluğunda olması gerekir.
    Region (US) Doğu ABD seçin
    Performans Standart
    Yedeklilik Yerel olarak yedekli depolama (LRS)

    Yeni depolama hesabı oluşturma ekranının ekran görüntüsü.

  4. Oluştur + gözden geçir' i seçin ve doğrulama denetimleri geçtiğinde Oluştur' u seçin.

    Not

    Dağıtımın tamamlanması birkaç dakika sürebilir.

  5. Depolama hesabı oluşturulduktan sonra Kaynağa Git' i seçin.

Depolama hesabında dosya paylaşımı oluşturma

  1. Veri depolama altında dosya paylaşımları ' nı seçin ve + dosya paylaşımı' nı seçin.

    Bir depolama hesabındaki dosya paylaşma sayfasının ekran görüntüsü.

  2. Dosya paylaşımının aşağıdaki değerlerini girin veya ayarlayın ve ardından Oluştur' u seçin:

    Ayar Değer
    Ad My-File-Share
    Kota Maksimum olarak ayarla' yı seçin.
    Katman Varsayılan olarak, işlem için iyileştirilmiş' ı bırakın.

    Yeni dosya paylaşma ayarları oluşturma sayfasının ekran görüntüsü.

  3. Yeni dosya paylaşımının dosya paylaşma sayfasında görünmesi gerekir, sayfanın üst kısmındaki Yenile düğmesini seçin.

Bir alt ağa erişimi kısıtlama

Varsayılan olarak, depolama hesapları İnternet de dahil olmak üzere herhangi bir ağdaki istemcilerden gelen ağ bağlantılarını kabul eder. İnternet 'ten ve tüm sanal ağlardaki tüm diğer alt ağlardan ( myVirtualNetwork sanal ağındaki özel alt ağ dışında) ağ erişimini kısıtlayabilirsiniz. Bir alt ağa ağ erişimini kısıtlamak için:

  1. (benzersiz olarak adlandırılmış) depolama hesabınız için Ayarlar altında ' ı seçin.

  2. Seçili ağlardan erişime izin ver _ ' i seçin ve _+ var olan sanal ağı Ekle * * ' yi seçin.

    Depolama hesabı ağ ayarları sayfasının ekran görüntüsü.

  3. Ağ ekle altında aşağıdaki değerleri ve sonra Ekle’yi seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Sanal ağlar myVirtualNetwork
    Alt ağlar Özel

    Depolama hesabına sanal ağ ekleme sayfasının ekran görüntüsü.

  4. Sanal ağ yapılandırmasını kaydetmek için Kaydet düğmesini seçin.

  5. Depolama hesabı için güvenlik + ağ altında erişim tuşları ' nı seçin ve anahtarları göster' i seçin. Bir VM 'de dosya paylaşımının eşlenmesiyle sonraki bir adımda kullanılacak KEY1 için değeri aklınızda edin.

    Depolama hesabı anahtarı ve bağlantı dizelerinin ekran görüntüsü.

Sanal makineler oluşturma

Bir depolama hesabına ağ erişimini test etmek için her alt ağa bir VM dağıtın.

İlk sanal makineyi oluşturma

  1. Azure portal + kaynak oluştur' u seçin.

  2. İşlem' ı ve sonra sanal makine altında Oluştur ' u seçin.

  3. Temel bilgiler sekmesinde, aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Abonelik Aboneliğinizi seçin
    Kaynak grubu Daha önce oluşturulan Myresourcegroup öğesini seçin.
    Sanal makine adı MyVmPublic girin
    Region (ABD) Doğu ABD
    Kullanılabilirlik seçenekleri Kullanılabilirlik alanı
    Kullanılabilirlik alanı 1
    Görüntü Bir işletim sistemi görüntüsü seçin. bu VM için Windows Server 2019 Datacenter-Gen1 seçilidir.
    Boyut Kullanmak istediğiniz VM örnek boyutunu seçin
    Kullanıcı adı Seçtiğiniz bir kullanıcı adını girin.
    Parola Seçtiğiniz bir parolayı girin. Parola en az 12 karakter uzunluğunda olmalı ve tanımlanmış karmaşıklık gereksinimlerinikarşılamalıdır.
    Genel gelen bağlantı noktaları Seçili bağlantı noktalarına izin ver
    Gelen bağlantı noktalarını seçin Varsayılan olarak RDP 'yi ayarlayın (3389)

    Genel sanal makine ayarları oluşturma ekranının ekran görüntüsü.

  4. sekmesinde, aşağıdaki bilgileri girin veya seçin:

    Ayar Değer
    Sanal Ağ MyVirtualNetwork öğesini seçin.
    Alt ağ Genel’i seçin.
    NIC ağ güvenlik grubu Gelişmiş'i seçin. Portal, bağlantı noktası 3389 ' ye izin veren sizin için otomatik olarak bir ağ güvenlik grubu oluşturur. Daha sonraki bir adımda sanal makineye bağlanmak için bu bağlantı noktasının açık olması gerekir.

    Ortak sanal makine ağ ayarlarının oluşturulması ekran görüntüsü.

  5. Gözden geçir ve oluştur' u seçin, ardından oluşturun ve dağıtımın bitmesini bekleyin.

  6. Kaynağa Git' i seçin veya ana > sanal makineler sayfasını açın ve yeni oluşturduğunuz MYVMPUBLIC, başlatılmış olması gereken VM 'yi seçin.

İkinci sanal makineyi oluşturma

  1. İkinci bir sanal makine oluşturmak için 1-5 arası adımları tekrarlayın. Adım 3 ' te, sanal makineyi myVmPrivate olarak adlandırın ve NIC ağ güvenlik grubunu hiçbiri olarak ayarlayın. 4. adımda özel alt ağı seçin.

    Özel sanal makine ağ ayarları oluşturma ekranının ekran görüntüsü.

  2. Gözden geçir ve oluştur' u seçin, ardından oluşturun ve dağıtımın bitmesini bekleyin.

    Uyarı

    Dağıtım tamamlanana kadar sonraki adıma devam etmez.

  3. Kaynağa Git' i seçin veya ana > sanal makineler sayfasını açın ve yeni oluşturduğunuz MYVMPRIVATE, başlatılmış olması gereken VM 'yi seçin.

Depolama hesabına erişimi onaylama

  1. MyVmPrivate VM oluşturulduktan sonra, sanal makinenin genel bakış sayfasına gidin. Bağlan düğmesini seçerek sanal makineye Bağlan ve ardından açılan listeden RDP ' yi seçin.

    Özel sanal makine için Bağlan düğmesinin ekran görüntüsü.

  2. Uzak Masaüstü dosyasını bilgisayarınıza indirmek için RDP dosyasını indir ' i seçin.

    Özel sanal makine için RDP dosyasını indirme ekran görüntüsü.

  3. İndirilen rdp dosyasını açın. istendiğinde Bağlan' yi seçin.

    Özel sanal makine bağlantı ekranının ekran görüntüsü.

  4. Sanal makine oluştururken belirttiğiniz kullanıcı adını ve parolayı girin. Sanal makineyi oluştururken girdiğiniz kimlik bilgilerini belirtmek için diğer seçenekler' i ve ardından farklı bir hesap kullanmanız gerekebilir. E-posta alanı için, daha önce belirttiğiniz "yönetici hesabı: Kullanıcı adı" kimlik bilgilerini girin. VM 'de oturum açmak için Tamam ' ı seçin.

    Özel sanal makine için kimlik bilgisi ekranının ekran görüntüsü.

    Not

    Oturum açma işlemi sırasında bir sertifika uyarısı alabilirsiniz. Uyarıyı alırsanız, bağlantıya devam etmek için Evet ' i veya devam et' i seçin.

  5. Oturum açıldıktan sonra Windows PowerShell açın. Aşağıdaki betiği kullanarak, PowerShell kullanarak Azure dosya paylaşımından Z sürücüsüne eşleyin. <storage-account-key>Hem hem de <storage-account-name> bir depolama hesabı oluşturma adımlarında sağladığınız değerlerle değiştirin.

    $acctKey = ConvertTo-SecureString -String "<storage-account-key>" -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential -ArgumentList "Azure\<storage-account-name>", $acctKey
New-PSDrive -Name Z -PSProvider FileSystem -Root "\\<storage-account-name>.file.core.windows.net\my-file-share" -Credential $credential

    PowerShell aşağıdaki örnek çıktıya benzer bir çıktı döndürür:

    Name        Used (GB)     Free (GB) Provider      Root
----        ---------     --------- --------      ----
Z                                      FileSystem    \\mystorage007.file.core.windows.net\my-f...

    Z sürücüsüne başarıyla eşlenen Azure dosya paylaşımı.

  6. myVmPrivate VM ile uzak masaüstü oturumunu kapatın.

Depolama hesabına erişimin reddedildiğini onaylama

MyVmPublic adresinden:

  1. Portalın üst kısmındaki Kaynak, hizmet ve belgeleri arayın kutusuna myVmPublic yazın. Arama sonuçlarında myVmPublic göründüğünde seçin.

  2. MyVmPublic VM için depolama hesabına erişimi onaylayın bölümünde yukarıdaki 1-5 adımları yineleyin.

    Kısa süre bekledikten sonra bir New-PSDrive : Access is denied hatası alırsınız. myVmPublic VM Genel alt ağa dağıtıldığı için erişim reddedilir. ortak alt ağda Azure Depolama için etkinleştirilmiş bir hizmet uç noktası yok. Depolama hesabı yalnızca Özel alt ağdan ağ erişimine izin verir; Genel alt ağdan erişime izin vermez.

    New-PSDrive : Access is denied
At line:1 char:1
+ New-PSDrive -Name Z -PSProvider FileSystem -Root "\\mystorage007.file ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive],     Win32Exception
    + Fu llyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand

  3. myVmPublic VM ile uzak masaüstü oturumunu kapatın.

Yerel bir makineden:

  1. Azure portal, daha önce oluşturduğunuz benzersiz adlı depolama hesabına gidin. Örneğin, mystorage007.

  2. Veri depolama altında dosya paylaşımları ' nı seçin ve ardından daha önce oluşturduğunuz dosya paylaşımını seçin.

  3. Aşağıdaki hata iletisini almalısınız:

    Erişim reddedildi hata iletisinin ekran görüntüsü.

Not

Bilgisayarınız MyVirtualNetwork sanal ağının özel alt ağında olmadığından erişim reddedildi.

Kaynakları temizleme

Artık gerekli olmadığında kaynak grubunu ve içerdiği tüm kaynakları silin:

  1. Portalın üst kısmındaki Ara kutusuna myResourceGroup değerini girin. Arama sonuçlarında myResourceGroup seçeneğini gördüğünüzde bunu seçin.

  2. Kaynak grubunu sil'i seçin.

  3. KAYNAK GRUBU ADINI YAZIN: için myResourceGroup girin ve Sil’i seçin.

Sonraki adımlar

Bu öğreticide bir sanal ağ alt ağı için hizmet uç noktası etkinleştirdiniz. Hizmet uç noktalarını birden fazla Azure hizmetinden dağıtılmış kaynaklar için etkinleştirebileceğinizi öğrendiniz. bir Azure Depolama hesabı oluşturdunuz ve depolama hesabına ağ erişimini yalnızca bir sanal ağ alt ağı içindeki kaynaklarla kısıtladınız. Hizmet uç noktaları hakkında daha fazla bilgi için bkz. Hizmet uç noktalarına genel bakış ve Alt ağları yönetme.

Hesabınızda birden çok sanal ağınız varsa, kaynakların birbirleriyle iletişim kurabilmesi için aralarında bağlantı oluşturmak isteyebilirsiniz. Sanal ağları bağlama hakkında bilgi almak için sonraki öğreticiye ilerleyin.

Sanal ağları bağlama