Kurz: Připojení k účtu úložiště s využitím privátního koncového bodu Azure

  • Článek

Privátní koncový bod Azure je základním stavebním blokem služby Private Link v Azure. Umožňuje prostředkům Azure, jako jsou virtuální počítače, soukromě a bezpečně komunikovat s prostředky Private Linku, jako je Azure Storage.

Diagram prostředků vytvořených v kurzu

V tomto kurzu se naučíte:

  • Vytvořte virtuální síť a hostitele bastionu.
  • Vytvořte účet úložiště a zakažte veřejný přístup.
  • Vytvořte privátní koncový bod pro účet úložiště.
  • Vytvoří virtuální počítač.
  • Otestujte připojení k privátnímu koncovému bodu účtu úložiště.

Požadavky

  • Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Přihlášení k Azure

Přihlaste se k portálu Azure.

Vytvoření virtuální sítě a hostitele služby Azure Bastion

Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Služby Azure Bastion a hostitelem Bastionu:

  1. Na portálu vyhledejte a vyberte Virtuální sítě.

  2. Na stránce Virtuální sítě vyberte + Vytvořit.

  3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte test-rg .
    Vyberte OK.
    Podrobnosti o instanci
    Název Zadejte vnet-1.
    Oblast Vyberte USA – východ 2.

    Snímek obrazovky s kartou Základy pro vytvoření virtuální sítě na webu Azure Portal

  4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

  5. V části Azure Bastion vyberte Povolit Bastion.

    Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace najdete v tématu Co je Azure Bastion?.

    Poznámka:

    Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

  6. V Azure Bastionu zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Název hostitele služby Azure Bastion Zadejte bastion.
    Veřejná IP adresa služby Azure Bastion Vyberte Vytvořit veřejnou IP adresu.
    Do názvu zadejte public-ip-bastion .
    Vyberte OK.

    Snímek obrazovky s možnostmi pro povolení hostitele Služby Azure Bastion v rámci vytváření virtuální sítě na webu Azure Portal

  7. Výběrem možnosti Další přejděte na kartu IP adresy.

  8. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

  9. V části Upravit podsíť zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti o podsíti
    Šablona podsítě Ponechte výchozí hodnotu Výchozí.
    Název Zadejte podsíť-1.
    Počáteční adresa Ponechte výchozí hodnotu 10.0.0.0.
    Velikost podsítě Ponechte výchozí hodnotu /24 (256 adres).

    Snímek obrazovky s podrobnostmi o konfiguraci podsítě

  10. Zvolte Uložit.

  11. V dolní části okna vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Vytvoření účtu úložiště

Vytvořte účet Azure Storage pro kroky v tomto článku. Pokud už účet úložiště máte, můžete ho použít.

  1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

  2. Vyberte + Vytvořit.

  3. Na kartě Základy vytvoření účtu úložiště zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné Azure.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Název účtu úložiště Zadejte úložiště 1. Pokud název není dostupný, zadejte jedinečný název.
    Umístění Vyberte USA – východ 2.
    Výkon Ponechte výchozí standard.
    Redundance Vyberte místně redundantní úložiště (LRS).

  4. Vyberte Zkontrolovat.

  5. Vyberte Vytvořit.

Zakázání veřejného přístupu k účtu úložiště

Před vytvořením privátního koncového bodu se doporučuje zakázat veřejný přístup k účtu úložiště. Pomocí následujícího postupu zakažte veřejný přístup k účtu úložiště.

  1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

  2. Vyberte úložiště1 nebo název existujícího účtu úložiště.

  3. V části Zabezpečení a sítě vyberte Sítě.

  4. Na kartě Brány firewall a virtuální sítě v přístupu k veřejné síti vyberte Zakázáno.

  5. Zvolte Uložit.

Vytvoření privátního koncového bodu

  1. Do vyhledávacího pole v horní části portálu zadejte privátní koncový bod. Vyberte privátní koncové body.

  2. Vyberte + Vytvořit v privátních koncových bodech.

  3. Na kartě Základy vytvoření privátního koncového bodu zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Výběr příkazu test-rg
    Podrobnosti o instanci
    Název Zadejte privátní koncový bod.
    Název síťového rozhraní Ponechte výchozí hodnotu private-endpoint-nic.
    Oblast Vyberte USA – východ 2.

  4. Vyberte Další: Prostředek.

  5. V podokně Prostředek zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    Způsob připojení Ve výchozím nastavení Připojení ponechte v adresáři prostředek Azure.
    Předplatné Vyberte své předplatné.
    Typ prostředku Vyberte Microsoft.Storage/storageAccounts.
    Prostředek Vyberte storage-1 nebo váš účet úložiště.
    Cílový podsourc Vyberte objekt blob.

  6. Vyberte Další: Virtuální síť.

  7. Ve virtuální síti zadejte nebo vyberte následující informace.

    Nastavení Hodnota
    Sítě
    Virtuální síť Vyberte vnet-1 (test-rg).
    Podsíť Vyberte podsíť 1.
    Zásady sítě pro privátní koncové body Výběrem možnosti Upravit použijete zásady sítě pro privátní koncové body.
    V části Upravit zásady sítě podsítě zaškrtněte políčko vedle skupin zabezpečení sítě a směrovacích tabulek v nastavení Zásady sítě pro všechny privátní koncové body v této podsíti .
    Vyberte Uložit.

    Další informace najdete v tématu Správa zásad sítě pro privátní koncové body.
    Nastavení Hodnota
    Konfigurace privátní IP adresy Vyberte Dynamicky přidělovat IP adresu.

    Snímek obrazovky s výběrem dynamické IP adresy

  8. Vyberte Další: DNS.

  9. Ve službě DNS ponechte výchozí hodnoty. Vyberte Další: Značky a pak Další: Zkontrolovat a vytvořit.

  10. Vyberte Vytvořit.

Vytvoření testovacího virtuálního počítače

Následující postup vytvoří testovací virtuální počítač s názvem vm-1 ve virtuální síti.

  1. Na portálu vyhledejte a vyberte Virtuální počítače.

  2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

  3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Podrobnosti projektu
    Předplatné Vyberte své předplatné.
    Skupina prostředků Vyberte test-rg.
    Podrobnosti o instanci
    Virtual machine name Zadejte vm-1.
    Oblast Vyberte USA – východ 2.
    Možnosti dostupnosti Vyberte Možnost Bez redundance infrastruktury.
    Typ zabezpečení Ponechte výchozí hodnotu Standard.
    Image Vyberte Windows Server 2022 Datacenter – x64 Gen2.
    Architektura virtuálního počítače Ponechte výchozí hodnotu x64.
    Velikost Vyberte velikost.
    účet Správa istrator
    Authentication type Vyberte heslo.
    Username Zadejte azureuser.
    Heslo Zadejte heslo.
    Potvrdit heslo Zadejte znovu heslo.
    Pravidla portů pro příchozí spojení
    Veřejné příchozí porty Vyberte Žádná.

  4. V horní části stránky vyberte kartu Sítě.

  5. Na kartě Sítě zadejte nebo vyberte následující informace:

    Nastavení Hodnota
    Síťové rozhraní
    Virtuální síť Vyberte vnet-1.
    Podsíť Vyberte podsíť 1 (10.0.0.0/24).
    Veřejná IP adresa Vyberte Žádná.
    Skupina zabezpečení sítě síťových adaptérů Vyberte Upřesnit.
    Konfigurace skupiny zabezpečení sítě Vyberte, že chcete vytvořit novou IP adresu.
    Jako název zadejte nsg-1 .
    Ponechte zbytek ve výchozím nastavení a vyberte OK.

  6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

  7. Zkontrolujte nastavení a vyberte Vytvořit.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

  • Virtuálnímu počítači se přiřadí veřejná IP adresa.
  • Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
  • Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Přístupový klíč k úložišti

Pro pozdější kroky se vyžaduje přístupový klíč k úložišti. Přejděte na účet úložiště, který jste vytvořili dříve, a zkopírujte připojovací řetězec s přístupovým klíčem pro účet úložiště.

  1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

  2. Vyberte účet úložiště, který jste vytvořili v předchozích krocích, nebo existující účet úložiště.

  3. V části Zabezpečení a sítě účtu úložiště vyberte Přístupové klíče.

  4. Vyberte Zobrazit a pak vyberte kopírovat v řetězci Připojení ion pro klíč1.

Přidání kontejneru objektů blob

  1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

  2. Vyberte účet úložiště, který jste vytvořili v předchozích krocích.

  3. V části Úložiště dat vyberte Kontejnery.

  4. Vyberte + Kontejner a vytvořte nový kontejner.

  5. Do pole Název zadejte kontejner a v části Úroveň veřejného přístupu vyberte Privátní (bez anonymního přístupu).

  6. Vyberte Vytvořit.

Testování připojení k privátnímu koncovému bodu

V této části použijete virtuální počítač, který jste vytvořili v předchozích krocích, a připojíte se k účtu úložiště přes privátní koncový bod pomocí Průzkumník služby Microsoft Azure Storage.

  1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

  2. Vyberte vm-1.

  3. V operacích vyberte Bastion.

  4. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače.

  5. Vyberte Připojit.

  6. Po připojení otevřete Windows PowerShell na serveru.

  7. Zadejte nslookup <storage-account-name>.blob.core.windows.net. Nahraďte <název> účtu úložiště názvem účtu úložiště, který jste vytvořili v předchozích krocích. Následující příklad ukazuje výstup příkazu.

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    storage1.privatelink.blob.core.windows.net
Address:  10.0.0.10
Aliases:  mystorageaccount.blob.core.windows.net

    Pro název účtu úložiště se vrátí privátní IP adresa 10.0.0.10 . Tato adresa je v podsíti podsítě vnet-1 virtuální sítě, kterou jste vytvořili dříve.

  8. Nainstalujte Průzkumník služby Microsoft Azure Storage na virtuální počítač.

  9. Po instalaci Průzkumník služby Microsoft Azure Storage vyberte Dokončit. Nechte políčko zaškrtnuté, aby se aplikace otevřela.

  10. Výběrem symbolu napájení otevřete dialogové okno Vybrat prostředek na levém panelu nástrojů.

  11. V části Vybrat prostředek vyberte účet úložiště nebo službu a přidejte připojení do Průzkumník služby Microsoft Azure Storage k účtu úložiště, který jste vytvořili v předchozích krocích.

  12. Na obrazovce Select Připojení ion Method (Vybrat metodu) vyberte Připojení ion string (Řetězec) a pak Next (Další).

  13. Do pole pod Připojení ion String vložte připojovací řetězec z účtu úložiště, který jste zkopírovali v předchozích krocích. Název účtu úložiště se automaticky vyplní do pole pod zobrazovaný název.

  14. Vyberte Další.

  15. Ověřte správnost nastavení v souhrnu.

  16. Vyberte Připojit

  17. V nabídce Průzkumníka vyberte svůj účet úložiště .

  18. Rozbalte účet úložiště a pak kontejnery objektů blob.

  19. Zobrazí se dříve vytvořený kontejner .

  20. Zavřete připojení k virtuálnímu počítači vm-1.

Vyčištění prostředků

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky:

  1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

  2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

  3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

  4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

Další kroky

V tomto kurzu jste se naučili, jak vytvořit:

  • Virtuální síť a hostitel bastionu

  • Virtuální počítač.

  • Účet úložiště a kontejner

Zjistěte, jak se připojit k účtu služby Azure Cosmos DB prostřednictvím privátního koncového bodu Azure:

Připojení do služby Azure Cosmos DB pomocí privátního koncového bodu