التشغيل السريع: إنشاء محيط أمان شبكة - Azure CLI

ابدأ باستخدام محيط أمان الشبكة عن طريق إنشاء محيط أمان شبكة ل Azure Key Vault باستخدام Azure CLI. يسمح محيط أمان الشبكة لموارد Azure PaaS (PaaS) بالاتصال داخل حدود موثوق بها صريحة. بعد ذلك، يمكنك إنشاء وتحديث اقتران موارد PaaS في ملف تعريف محيط أمان الشبكة. ثم تقوم بإنشاء وتحديث قواعد الوصول إلى محيط أمان الشبكة. عند الانتهاء، يمكنك حذف جميع الموارد التي تم إنشاؤها في هذا التشغيل السريع.

هام

يتوفر محيط أمان الشبكة الآن بشكل عام في جميع مناطق سحابة Azure العامة. للحصول على معلومات حول الخدمات المدعومة، راجع موارد الارتباط الخاص المدمجة لخدمات PaaS المدعومة."

المتطلبات الأساسية

• حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
• أحدث Azure CLI، أو يمكنك استخدام Azure Cloud Shell في المدخل.
  • تتطلب هذه المقالة الإصدار 2.38.0 أو أحدث من Azure CLI. إذا كنت تستخدم Azure Cloud Shell، يتم تثبيت أحدث إصدار بالفعل.
• بعد الترقية إلى أحدث إصدار من Azure CLI، قم باستيراد أوامر محيط أمان الشبكة باستخدام az extension add --name nsp.

الاتصال بحساب Azure الخاص بك وتحديد اشتراكك

للبدء، اتصل ب Azure Cloud Shell أو استخدم بيئة CLI المحلية.

1. إذا كنت تستخدم Azure Cloud Shell، فسجل الدخول وحدد اشتراكك.

2. إذا قمت بتثبيت CLI محليا، فسجل الدخول باستخدام الأمر التالي:

   # Sign in to your Azure account
   az login 
   

3. بمجرد الدخول إلى shell، حدد اشتراكك النشط محليا باستخدام الأمر التالي:

   # List all subscriptions
   az account set --subscription <Azure Subscription>
   
   # Re-register the Microsoft.Network resource provider
   az provider register --namespace Microsoft.Network    
   

إنشاء مجموعة موارد ومخزن رئيسي

قبل أن تتمكن من إنشاء محيط أمان الشبكة، يجب عليك إنشاء مجموعة موارد ومورد مخزن مفاتيح باستخدام az group create وإنشاء az keyvault.
ينشئ هذا المثال مجموعة موارد تسمى resource-group في موقع WestCentralUS ومخزن مفاتيح يسمى key-vault-YYYYYDMM في مجموعة الموارد مع الأوامر التالية:

az group create \
    --name resource-group \
    --location westcentralus

# Create a key vault using a datetime value to ensure a unique name

key_vault_name="key-vault-$(date +%s)"
az keyvault create \
    --name $key_vault_name \
    --resource-group resource-group \
    --location westcentralus \
    --query 'id' \
    --output tsv

إنشاء محيط أمان الشبكة

في هذه الخطوة، قم بإنشاء محيط أمان شبكة باستخدام الأمر az network perimeter create .

إشعار

يرجى عدم وضع أي بيانات شخصية محددة أو حساسة في قواعد محيط أمان الشبكة أو تكوين محيط أمان الشبكة الآخر.

az network perimeter create\
    --name network-security-perimeter \
    --resource-group resource-group \
    -l westcentralus

إنشاء وتحديث اقتران موارد PaaS بملف تعريف جديد

في هذه الخطوة، يمكنك إنشاء ملف تعريف جديد وربط مورد PaaS، وAzure Key Vault بملف التعريف باستخدام az network perimeter profile create وaz network perimeter association create commands.

إشعار

--private-link-resource بالنسبة لقيم المعلمة و--profile، استبدل <PaaSArmId> و <networkSecurityPerimeterProfileId> بقيم key vault ومعرف ملف التعريف، على التوالي.

1. إنشاء ملف تعريف جديد لمحيط أمان الشبكة باستخدام الأمر التالي:

   # Create a new profile
   az network perimeter profile create \
       --name network-perimeter-profile \
       --resource-group resource-group \
       --perimeter-name network-security-perimeter
   
   

2. إقران Azure Key Vault (مورد PaaS) بملف تعريف محيط أمان الشبكة بالأوامر التالية.

   
   # Get key vault id
   az keyvault show \
       --name $key_vault_name \
       --resource-group resource-group \
       --query 'id'
   
   # Get the profile id
   az network perimeter profile show \
       --name network-perimeter-profile \
       --resource-group resource-group \
       --perimeter-name network-security-perimeter
   
   # Associate the Azure Key Vault with the network security perimeter profile
   # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile
   az network perimeter association create \
       --name network-perimeter-association \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --access-mode Learning  \
       --private-link-resource "{id:<PaaSArmId>}" \
       --profile "{id:<networkSecurityPerimeterProfileId>}"
   
   

3. تحديث الاقتران عن طريق تغيير وضع الوصول إلى مفروض باستخدام الأمر az network perimeter association create كما يلي:

   az network perimeter association create \
       --name network-perimeter-association \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --access-mode Enforced  \
       --private-link-resource "{id:<PaaSArmId>}" \
       --profile "{id:<networkSecurityPerimeterProfileId>}"
   

إدارة قواعد الوصول إلى محيط أمان الشبكة

في هذه الخطوة، يمكنك إنشاء قواعد الوصول إلى محيط أمان الشبكة وتحديثها وحذفها باستخدام بادئات عناوين IP العامة باستخدام الأمر az network perimeter profile access-rule create .

1. إنشاء قاعدة وصول واردة مع بادئة عنوان IP عام لملف التعريف الذي تم إنشاؤه باستخدام الأمر التالي:

   
   # Create an inbound access rule
   az network perimeter profile access-rule create \
       --name access-rule \
       --profile-name network-perimeter-profile \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --address-prefixes "[192.0.2.0/24]"
   
   

2. قم بتحديث قاعدة الوصول الواردة ببادئة عنوان IP عام آخر باستخدام الأمر التالي:

   
   # Update the inbound access rule
   az network perimeter profile access-rule create\
       --name access-rule \
       --profile-name network-perimeter-profile \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group \
       --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"
   
   

3. إذا كنت بحاجة إلى حذف قاعدة وصول، فاستخدم الأمر az network perimeter profile access-rule delete :

   # Delete the access rule
   az network perimeter profile access-rule delete \
       --Name network-perimeter-association \
       --profile-name network-perimeter-profile \
       --perimeter-name network-security-perimeter \
       --resource-group resource-group
   
   

إشعار

إذا لم يتم تعيين الهوية المدارة إلى المورد الذي يدعمها، رفض الوصول الصادر إلى الموارد الأخرى داخل نفس المحيط. لن تسري القواعد الواردة المستندة إلى الاشتراك والمقصود بها السماح بالوصول من هذا المورد.

حذف كافة الموارد

لحذف محيط أمان الشبكة والموارد الأخرى في هذا التشغيل السريع، استخدم أوامر az network perimeter التالية:

    # Delete the network security perimeter association
    az network perimeter association delete \
        --name network-perimeter-association \
        --resource-group resource-group \
        --perimeter-name network-security-perimeter

    # Delete the network security perimeter
    az network perimeter delete \
        --resource-group resource-group \
        --name network-security-perimeter --yes
    
    # Delete the key vault
    az keyvault delete \
        --name $key_vault_name \
        --resource-group resource-group
    
    # Delete the resource group
    az group delete \
        --name resource-group \
        --yes \
        --no-wait

إشعار

تؤدي إزالة اقتران الموارد من محيط أمان الشبكة إلى التحكم في الوصول مرة أخرى إلى تكوين جدار حماية المورد الموجود. قد يؤدي ذلك إلى السماح بالوصول/رفضه وفقا لتكوين جدار حماية المورد. إذا تم تعيين PublicNetworkAccess إلى SecuredByPerimeter وتم حذف الاقتران، فسيدخل المورد حالة تأمين. لمزيد من المعلومات، راجع الانتقال إلى محيط أمان الشبكة في Azure.

الخطوات التالية

التسجيل التشخيصي لمحيط أمان شبكة Azure