Kurz: Omezení síťového přístupu k prostředkům PaaS pomocí koncových bodů služby virtuální sítě

Koncové body služby pro virtuální síť umožňují omezení síťového přístupu k prostředkům některých služeb Azure na podsíť virtuální sítě. Můžete také odebrat internetový přístup k prostředkům. Koncové body služeb poskytují přímé připojení z vaší virtuální sítě k podporovaným službám Azure a umožňují pro přístup ke službám Azure použít privátní adresní prostor virtuální sítě. Provoz směřující do prostředků Azure prostřednictvím koncových bodů služby zůstává vždy v páteřní síti Microsoft Azure.

V tomto kurzu se naučíte:

• Vytvoření virtuální sítě s jednou podsítí
• Přidání podsítě a povolení koncového bodu služby
• Vytvoření prostředku Azure a povolení síťového přístupu k tomuto prostředku pouze z podsítě
• Nasazení virtuálního počítače do každé podsítě
• Ověření přístupu k prostředku z podsítě
• Ověření odepření přístupu k prostředku z podsítě a internetu

Požadavky

Azure Portal

• Účet Azure s aktivním předplatným. Vytvořte si ho zdarma.

PowerShell

Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.

Azure Cloud Shell

Azure hostí interaktivní prostředí Azure Cloud Shell, které můžete používat v prohlížeči. Pro práci se službami Azure můžete v prostředí Cloud Shell použít buď Bash, nebo PowerShell. Předinstalované příkazy Cloud Shellu můžete použít ke spuštění kódu v tomto článku, aniž byste museli instalovat cokoli do místního prostředí.

Spuštění služby Azure Cloud Shell:

Možnost	Příklad nebo odkaz
Vyberte Vyzkoušet v pravém horním rohu bloku kódu nebo příkazu. Výběrem možnosti Vyzkoušet se kód ani příkaz automaticky nekopíruje do Cloud Shellu.
Přejděte na adresu https://shell.azure.com nebo výběrem tlačítka Spustit Cloud Shell otevřete Cloud Shell v prohlížeči.
Zvolte tlačítko Cloud Shell v pruhu nabídky v pravém horním rohu webu Azure Portal.

Použití Azure Cloud Shellu:

1. Spusťte Cloud Shell.

2. Výběrem tlačítka Kopírovat v bloku kódu (nebo bloku příkazů) zkopírujte kód nebo příkaz.

3. Vložte kód nebo příkaz do relace Cloud Shellu tak, že ve Windows a Linuxu vyberete ctrl+Shift+V nebo vyberete Cmd+Shift+V v macOS.

4. Stisknutím klávesy Enter spusťte kód nebo příkaz.

Pokud se rozhodnete nainstalovat a používat PowerShell místně, tento článek vyžaduje modul Azure PowerShell verze 1.0.0 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure.

Rozhraní příkazového řádku

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Tento článek vyžaduje verzi 2.0.28 nebo novější azure CLI. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.

Povolení koncového bodu služby

Azure Portal

Vytvoření virtuální sítě a hostitele služby Azure Bastion

Následující postup vytvoří virtuální síť s podsítí prostředků, podsítí Služby Azure Bastion a hostitelem Bastionu:

1. Na portálu vyhledejte a vyberte Virtuální sítě.

2. Na stránce Virtuální sítě vyberte + Vytvořit.

3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte, že chcete vytvořit novou IP adresu. Jako název zadejte test-rg . Vyberte OK.
   Podrobnosti o instanci
   Název	Zadejte vnet-1.
   Oblast	Vyberte USA – východ 2.

   

4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

5. V části Azure Bastion vyberte Povolit Azure Bastion.

   Bastion používá váš prohlížeč k připojení k virtuálním počítačům ve virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace najdete v tématu Co je Azure Bastion?.

   Poznámka:

   Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

6. V Azure Bastionu zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Název hostitele služby Azure Bastion	Zadejte bastion.
   Veřejná IP adresa služby Azure Bastion	Vyberte Vytvořit veřejnou IP adresu. Do názvu zadejte public-ip-bastion . Vyberte OK.

   

7. Výběrem možnosti Další přejděte na kartu IP adresy.

8. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

9. V části Upravit podsíť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Účel podsítě	Ponechte výchozí hodnotu Výchozí.
   Název	Zadejte podsíť-1.
   IPv4
   Rozsah adres IPv4	Ponechte výchozí hodnotu 10.0.0.0/16.
   Počáteční adresa	Ponechte výchozí hodnotu 10.0.0.0.
   Velikost	Ponechte výchozí hodnotu /24 (256 adres).

   

10. Zvolte Uložit.

11. V dolní části okna vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

Koncové body služby se povolují pro každou službu a podsíť.

1. Do vyhledávacího pole v horní části stránky portálu vyhledejte virtuální síť. Ve výsledcích hledání vyberte virtuální sítě .

2. Ve virtuálních sítích vyberte vnet-1.

3. V části Nastavení virtuální sítě 1 vyberte Podsítě.

4. Vyberte + podsíť.

5. Na stránce Přidat podsíť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Name	privátní podsíť
   Rozsah adres podsítě	Ponechte výchozí hodnotu 10.0.2.0/24.
   KONCOVÉ BODY SLUŽBY
   Služby	Vyberte Microsoft.Storage.

6. Zvolte Uložit.

Upozornění

Než povolíte koncový bod služby pro existující podsíť s prostředky, přečtěte si pokyny pro změnu nastavení podsítě.

PowerShell

Vytvoření virtuální sítě

1. Před vytvořením virtuální sítě musíte vytvořit skupinu prostředků pro virtuální síť a všechny ostatní prostředky vytvořené v tomto článku. Vytvořte skupinu prostředků pomocí rutiny New-AzResourceGroup. Následující příklad vytvoří skupinu prostředků s názvem test-rg:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Vytvořte virtuální síť pomocí rutiny New-AzVirtualNetwork. Následující příklad vytvoří virtuální síť s názvem vnet-1 s předponou adresy 10.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Vytvořte konfiguraci podsítě pomocí rutiny New-AzVirtualNetworkSubnetConfig. Následující příklad vytvoří konfiguraci podsítě pro podsíť s názvem podsíť s názvem public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Vytvořte podsíť ve virtuální síti zápisem konfigurace podsítě do virtuální sítě pomocí rutiny Set-AzVirtualNetwork:

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Vytvořte ve virtuální síti jinou podsíť. V tomto příkladu se vytvoří podsíť s názvem podsíť s privátní podsítí s koncovým bodem služby pro Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Nasazení služby Azure Bastion

Azure Bastion se pomocí prohlížeče připojuje k virtuálním počítačům ve vaší virtuální síti přes Secure Shell (SSH) nebo RDP (Remote Desktop Protocol) pomocí jejich privátních IP adres. Virtuální počítače nepotřebují veřejné IP adresy, klientský software ani speciální konfiguraci. Další informace o Bastionu najdete v tématu Co je Azure Bastion?.

Hodinová cena začíná od okamžiku nasazení Bastionu bez ohledu na využití odchozích dat. Další informace najdete v tématu Ceny a skladové položky. Pokud bastion nasazujete jako součást kurzu nebo testu, doporučujeme tento prostředek po dokončení jeho použití odstranit.

1. Nakonfigurujte podsíť Bastion pro vaši virtuální síť. Tato podsíť je vyhrazená výhradně pro prostředky Bastionu a musí mít název AzureBastionSubnet.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Nastavte konfiguraci:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Vytvořte veřejnou IP adresu pro Bastion. Hostitel Bastion používá veřejnou IP adresu pro přístup k SSH a RDP přes port 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Pomocí příkazu New-AzBastion vytvořte nového standardního hostitele Bastionu v Podnetu AzureBastion:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Nasazení prostředků Bastionu trvá přibližně 10 minut. Virtuální počítače můžete vytvořit v další části, zatímco Bastion se nasadí do vaší virtuální sítě.

Rozhraní příkazového řádku

Vytvoření virtuální sítě

1. Před vytvořením virtuální sítě musíte vytvořit skupinu prostředků pro virtuální síť a všechny ostatní prostředky vytvořené v tomto článku. Vytvořte skupinu prostředků pomocí příkazu az group create. Následující příklad vytvoří skupinu prostředků s názvem test-rg v umístění westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Vytvořte virtuální síť s jednou podsítí pomocí příkazu az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. Koncové body služby můžete povolit jenom pro služby, které podporují koncové body služby. Zobrazte služby s povoleným koncovým bodem služby dostupné v umístění Azure pomocí příkazu az network vnet list-endpoint-services. Následující příklad vrátí seznam služeb s povolenými koncovými body služby, které jsou k dispozici v oblasti westus2 . Seznam vrácených služeb se časem zvětšuje, protože více služeb Azure se stane povoleným koncovým bodem služby.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Vytvořte ve virtuální síti jinou podsíť pomocí příkazu az network vnet subnet create. V tomto příkladu se pro podsíť vytvoří koncový bod Microsoft.Storage služby:

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

Omezení síťového přístupu pro podsíť

Azure Portal

Ve výchozím nastavení můžou všechny instance virtuálních počítačů v podsíti komunikovat s libovolnými prostředky. Komunikaci do těchto prostředků nebo z nich můžete omezit vytvořením skupiny zabezpečení sítě a jejím přiřazením k podsíti.

1. Do vyhledávacího pole v horní části stránky portálu vyhledejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.

2. Ve skupinách zabezpečení sítě vyberte + Vytvořit.

3. Na kartě Základy vytvořte skupinu zabezpečení sítě, zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Název	Zadejte nsg-storage.
   Oblast	Vyberte USA – východ 2.

4. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

PowerShell

1. Vytvořte skupinu zabezpečení sítě pomocí rutiny New-AzNetworkSecurityGroup. Následující příklad vytvoří skupinu zabezpečení sítě s názvem nsg-private.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

Rozhraní příkazového řádku

Vytvořte skupinu zabezpečení sítě pomocí příkazu az network nsg create. Následující příklad vytvoří skupinu zabezpečení sítě s názvem nsg-private.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

Vytvoření pravidel odchozí skupiny zabezpečení sítě (NSG)

Azure Portal

1. Do vyhledávacího pole v horní části stránky portálu vyhledejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.

2. Vyberte nsg-storage.

3. V Nastavení vyberte Pravidla zabezpečení odchozích přenosů.

4. Vyberte + Přidat.

5. Vytvořte pravidlo pro povolení odchozí komunikace do služby Azure Storage. V části Přidat odchozí pravidlo zabezpečení zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Source	Vyberte značku služby.
   Značka zdrojové služby	Vyberte VirtualNetwork.
   Rozsahy zdrojových portů	Ponechte výchozí hodnotu *.
   Cíl	Vyberte značku služby.
   Značka cílové služby	Vyberte Úložiště.
   Služba	Ponechte výchozí hodnotu Custom (Vlastní).
   Rozsahy cílových portů	Zadejte 445.
   Protokol	Vyberte libovolnou položku.
   Akce	Vyberte Povolit.
   Priorita	Ponechte výchozí hodnotu 100.
   Název	Zadejte allow-storage-all.

   

6. Vyberte + Přidat.

7. Vytvořte další odchozí pravidlo zabezpečení, které zakáže komunikaci s internetem. Toto pravidlo přepíše výchozí pravidlo ve všech skupinách zabezpečení sítě, které odchozí komunikaci s internetem povoluje. V části Přidat odchozí pravidlo zabezpečení proveďte předchozí kroky s následujícími hodnotami:

   Nastavení	Hodnota
   Source	Vyberte značku služby.
   Značka zdrojové služby	Vyberte VirtualNetwork.
   Rozsahy zdrojových portů	Ponechte výchozí hodnotu *.
   Cíl	Vyberte značku služby.
   Značka cílové služby	Vyberte Internet.
   Služba	Ponechte výchozí hodnotu Custom (Vlastní).
   Rozsahy cílových portů	Zadejte *.
   Protokol	Vyberte libovolnou položku.
   Akce	Vyberte Odepřít.
   Priorita	Ponechte výchozí hodnotu 110.
   Název	Zadejte odepřít-internet-all.

   

8. Vyberte Přidat.

9. Do vyhledávacího pole v horní části stránky portálu vyhledejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.

10. Vyberte nsg-storage.

11. V nastavení vyberte podsítě.

12. Vyberte + Přidružit.

13. V podsíti Přidružit vyberte v síti VNet-1 ve virtuální síti. V podsíti vyberte privátní podsíť.

    

14. Vyberte OK.

PowerShell

1. Vytvořte pravidla zabezpečení skupiny zabezpečení sítě pomocí rutiny New-AzNetworkSecurityRuleConfig. Následující pravidlo umožňuje odchozí přístup k veřejným IP adresům přiřazeným ke službě Azure Storage:

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Následující pravidlo odmítne přístup ke všem veřejným IP adresám. Předchozí pravidlo toto pravidlo přepíše kvůli vyšší prioritě, což umožňuje přístup k veřejným IP adresám služby Azure Storage.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Pomocí rutiny Get-AzNetworkSecurityGroup načtěte objekt skupiny zabezpečení sítě do proměnné. Pomocí set-AzNetworkSecurityRuleConfig přidejte pravidla do skupiny zabezpečení sítě.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Přidružte skupinu zabezpečení sítě k podsíti privátní podsíti set-AzVirtualNetworkSubnetConfig a pak zapište konfiguraci podsítě do virtuální sítě. Následující příklad přidruží skupinu zabezpečení sítě nsg-private k podsíti privátní podsíti:

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Rozhraní příkazového řádku

1. Vytvořte pravidla zabezpečení pomocí příkazu az network nsg rule create. Následující pravidlo umožňuje odchozí přístup k veřejným IP adresům přiřazeným ke službě Azure Storage:

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Každá skupina zabezpečení sítě obsahuje několik výchozích pravidel zabezpečení. Následující pravidlo přepíše výchozí pravidlo zabezpečení, které umožňuje odchozí přístup ke všem veřejným IP adresám. Tato destination-address-prefix "Internet" možnost odepře odchozí přístup ke všem veřejným IP adresám. Předchozí pravidlo toto pravidlo přepíše kvůli vyšší prioritě, což umožňuje přístup k veřejným IP adresám služby Azure Storage.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Následující pravidlo umožňuje příchozí provoz SSH do podsítě odkudkoli. Toto pravidlo přepíše výchozí pravidlo zabezpečení, které zakazuje veškerý příchozí provoz z internetu. SSH je pro podsíť povolená, aby bylo možné připojení otestovat v pozdějším kroku.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Přidružte skupinu zabezpečení sítě k privátní podsíti podsítě podsítě az network vnet subnet update. Následující příklad přidruží skupinu zabezpečení sítě nsg-private k podsíti privátní podsíti:

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

Omezení síťového přístupu k prostředku

Azure Portal

Kroky potřebné k omezení síťového přístupu k prostředkům vytvořeným prostřednictvím služeb Azure, které jsou povolené pro koncové body služby, se liší v různých službách. Konkrétní kroky pro jednotlivé služby najdete v dokumentaci příslušné služby. Zbytek tohoto kurzu obsahuje kroky k omezení síťového přístupu pro účet služby Azure Storage, jako příklad.

Vytvoření účtu úložiště

Vytvořte účet Azure Storage pro kroky v tomto článku. Pokud už účet úložiště máte, můžete ho použít.

1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

2. Vyberte + Vytvořit.

3. Na kartě Základy vytvoření účtu úložiště zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné Azure.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Název účtu úložiště	Zadejte úložiště 1. Pokud název není dostupný, zadejte jedinečný název.
   Umístění	Vyberte USA – východ 2.
   Výkon	Ponechte výchozí standard.
   Redundance	Vyberte místně redundantní úložiště (LRS).

4. Vyberte Zkontrolovat.

5. Vyberte Vytvořit.

PowerShell

1. Vytvořte účet úložiště Azure pomocí rutiny New-AzStorageAccount. Nahraďte <replace-with-your-unique-storage-account-name> názvem, který je jedinečný ve všech umístěních Azure, o délce 3 až 24 znaků, a to pouze čísly a malá písmena.

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. Po vytvoření účtu úložiště načtěte klíč pro účet úložiště do proměnné pomocí rutiny Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   Pro účely tohoto kurzu se připojovací řetězec používá k připojení k účtu úložiště. Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje vysokou míru důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

   Další informace o připojení k účtu úložiště pomocí spravované identity najdete v tématu Použití spravované identity pro přístup ke službě Azure Storage.

   Klíč slouží k vytvoření sdílené složky v pozdějším kroku. Zadejte a poznamenejte $storageAcctKey si hodnotu. Když sdílenou složku namapujete na jednotku ve virtuálním počítači, ručně ji zadáte v pozdějším kroku.

Rozhraní příkazového řádku

Kroky potřebné k omezení síťového přístupu k prostředkům vytvořeným prostřednictvím služeb Azure povolených v koncových bodech se u jednotlivých služeb liší. Konkrétní kroky pro jednotlivé služby najdete v dokumentaci příslušné služby. Zbývající část tohoto článku obsahuje postup omezení síťového přístupu pro účet Azure Storage, například.

Vytvoření účtu úložiště

1. Vytvořte účet úložiště Azure pomocí příkazu az storage account create. Nahraďte <replace-with-your-unique-storage-account-name> názvem, který je jedinečný ve všech umístěních Azure, o délce 3 až 24 znaků, a to pouze čísly a malá písmena.

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. Po vytvoření účtu úložiště načtěte připojovací řetězec pro účet úložiště do proměnné pomocí příkazu az storage account show-connection-string. Připojovací řetězec slouží k vytvoření sdílené složky v pozdějším kroku.

   Pro účely tohoto kurzu se připojovací řetězec používá k připojení k účtu úložiště. Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje vysokou míru důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

   Další informace o připojení k účtu úložiště pomocí spravované identity najdete v tématu Použití spravované identity pro přístup ke službě Azure Storage.

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

Vytvoření sdílené složky v účtu úložiště

Azure Portal

1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

2. V účtech úložiště vyberte účet úložiště, který jste vytvořili v předchozím kroku.

3. V úložišti dat vyberte Sdílené složky.

4. Vyberte + Sdílená složka.

5. Zadejte nebo vyberte následující informace v nové sdílené složce:

   Nastavení	Hodnota
   Name	Zadejte sdílenou složku.
   Úroveň	Ponechte výchozí hodnotu Optimalizovaná pro transakce.

6. Vyberte Další: Zálohování.

7. Zrušte výběr možnosti Povolit zálohování.

8. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

PowerShell

1. Vytvořte kontext pro účet úložiště a klíč pomocí New-AzStorageContext. Kontext zapouzdřuje název účtu úložiště a klíč účtu:

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Vytvořte sdílenou složku pomocí New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

Rozhraní příkazového řádku

1. Vytvořte sdílenou složku v účtu úložiště pomocí příkazu az storage share create. V pozdějším kroku se tato sdílená složka připojí k potvrzení síťového přístupu k ní.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

Omezení síťového přístupu k podsíti

Azure Portal

Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti včetně internetu. Můžete omezit přístup k síti z internetu a všechny ostatní podsítě ve všech virtuálních sítích (s výjimkou podsítě privátní podsítě v virtuální síti vnet-1 .)

Omezení síťového přístupu k podsíti:

1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

2. Vyberte svůj účet úložiště.

3. V části Zabezpečení a sítě vyberte Sítě.

4. Na kartě Brány firewall a virtuální sítě vyberte Možnost Povoleno z vybraných virtuálních sítí a IP adres v přístupu k veřejné síti.

5. Ve virtuálních sítích vyberte + Přidat existující virtuální síť.

6. V části Přidat sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Předplatné	Vyberte své předplatné.
   Virtuální sítě	Vyberte vnet-1.
   Podsítě	Vyberte privátní podsíť.

   

7. Vyberte Přidat.

8. Výběrem možnosti Uložit uložte konfigurace virtuální sítě.

   

PowerShell

1. Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti. Pokud chcete omezit přístup k vybraným sítím, změňte výchozí akci na Odepřít pomocí Update-AzStorageAccountNetworkRuleSet. Po odepření síťového přístupu není účet úložiště přístupný z žádné sítě.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Načtěte vytvořenou virtuální síť pomocí rutiny Get-AzVirtualNetwork a pak načtěte objekt privátní podsítě do proměnné pomocí rutiny Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Povolte síťový přístup k účtu úložiště z privátní podsítě podsítě pomocí rutiny Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

Rozhraní příkazového řádku

1. Účty úložiště ve výchozím nastavení přijímají síťová připojení z klientů v jakékoli síti. Pokud chcete omezit přístup k vybraným sítím, změňte výchozí akci na Odepřít pomocí příkazu az storage account update. Po odepření síťového přístupu není účet úložiště přístupný z žádné sítě.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Povolte síťový přístup k účtu úložiště z privátní podsítě podsítě pomocí příkazu az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Nasazení virtuálních počítačů do podsítí

Azure Portal

Pokud chcete otestovat síťový přístup k účtu úložiště, nasaďte virtuální počítač do každé podsítě.

Vytvoření testovacího virtuálního počítače

Následující postup vytvoří testovací virtuální počítač s názvem vm-1 ve virtuální síti.

1. Na portálu vyhledejte a vyberte Virtuální počítače.

2. Ve virtuálních počítačích vyberte + Vytvořit a pak virtuální počítač Azure.

3. Na kartě Základy vytvoření virtuálního počítače zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte test-rg.
   Podrobnosti o instanci
   Virtual machine name	Zadejte vm-1.
   Oblast	Vyberte USA – východ 2.
   Možnosti dostupnosti	Vyberte Možnost Bez redundance infrastruktury.
   Typ zabezpečení	Ponechte výchozí hodnotu Standard.
   Image	Vyberte Windows Server 2022 Datacenter – x64 Gen2.
   Architektura virtuálního počítače	Ponechte výchozí hodnotu x64.
   Velikost	Vyberte velikost.
   Účet správce
   Authentication type	Vyberte heslo.
   Username	Zadejte azureuser.
   Heslo	Zadejte heslo.
   Potvrdit heslo	Zadejte znovu heslo.
   Pravidla portů pro příchozí spojení
   Veřejné příchozí porty	Vyberte Žádná.

4. V horní části stránky vyberte kartu Sítě.

5. Na kartě Sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Síťové rozhraní
   Virtuální síť	Vyberte vnet-1.
   Podsíť	Vyberte podsíť 1 (10.0.0.0/24).
   Veřejná IP adresa	Vyberte Žádná.
   Skupina zabezpečení sítě síťových adaptérů	Vyberte Upřesnit.
   Konfigurace skupiny zabezpečení sítě	Vyberte, že chcete vytvořit novou IP adresu. Jako název zadejte nsg-1 . Ponechte zbytek ve výchozím nastavení a vyberte OK.

6. Zbývající nastavení ponechte ve výchozím nastavení a vyberte Zkontrolovat a vytvořit.

7. Zkontrolujte nastavení a vyberte Vytvořit.

Poznámka:

Virtuální počítače ve virtuální síti s hostitelem bastionu nepotřebují veřejné IP adresy. Bastion poskytuje veřejnou IP adresu a virtuální počítače používají privátní IP adresy ke komunikaci v síti. Veřejné IP adresy můžete odebrat z libovolného virtuálního počítače v hostovaných virtuálních sítích bastionu. Další informace najdete v tématu Zrušení přidružení veřejné IP adresy z virtuálního počítače Azure.

Poznámka:

Azure poskytuje výchozí odchozí IP adresu pro virtuální počítače, které nemají přiřazenou veřejnou IP adresu nebo jsou v back-endovém fondu interního základního nástroje pro vyrovnávání zatížení Azure. Výchozí mechanismus odchozích IP adres poskytuje odchozí IP adresu, která není konfigurovatelná.

Výchozí ip adresa odchozího přístupu je zakázaná, když dojde k jedné z následujících událostí:

• Virtuálnímu počítači se přiřadí veřejná IP adresa.
• Virtuální počítač se umístí do back-endového fondu standardního nástroje pro vyrovnávání zatížení s odchozími pravidly nebo bez něj.
• Prostředek Azure NAT Gateway je přiřazen k podsíti virtuálního počítače.

Virtuální počítače, které vytvoříte pomocí škálovacích sad virtuálních počítačů v flexibilním režimu orchestrace, nemají výchozí odchozí přístup.

Další informace o odchozích připojeních v Azure najdete v tématu Výchozí odchozí přístup v Azure a použití překladu zdrojových síťových adres (SNAT) pro odchozí připojení.

Vytvoření druhého virtuálního počítače

1. Vytvořte druhý virtuální počítač, který zopakuje kroky v předchozí části. V části Vytvoření virtuálního počítače nahraďte následující hodnoty:

   Nastavení	Hodnota
   Virtual machine name	Zadejte vm-private.
   Podsíť	Vyberte privátní podsíť.
   Veřejná IP adresa	Vyberte Žádná.
   Skupina zabezpečení sítě síťových adaptérů	Vyberte Žádná.

   Upozorňující

   Nepokračujte k dalšímu kroku, dokud se nasazení nedokončí.

PowerShell

Vytvoření prvního virtuálního počítače

Pomocí rutiny New-AzVM vytvořte virtuální počítač ve veřejné podsíti podsítě. Při spuštění následujícího příkazu se zobrazí výzva k zadání přihlašovacích údajů. Hodnoty, které zadáte, se nakonfigurují jako uživatelské jméno a heslo pro virtuální počítač.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

Vytvoření druhého virtuálního počítače

Vytvořte virtuální počítač v privátní podsíti podsítě:

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Vytvoření virtuálního počítače azure trvá několik minut. Nepokračujte k dalšímu kroku, dokud Azure nedokončí vytvoření virtuálního počítače a nevrátí výstup do PowerShellu.

Rozhraní příkazového řádku

Pokud chcete otestovat síťový přístup k účtu úložiště, nasaďte do každé podsítě virtuální počítač.

Vytvoření prvního virtuálního počítače

Vytvořte virtuální počítač ve veřejné podsíti podsítě pomocí příkazu az vm create. Pokud klíče SSH ještě neexistují ve výchozím umístění klíče, příkaz je vytvoří. Chcete-li použít konkrétní sadu klíčů, použijte možnost --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

Vytvoření virtuálního počítače trvá několik minut. Po vytvoření virtuálního počítače se v Azure CLI zobrazí podobné informace jako v následujícím příkladu:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Vytvoření druhého virtuálního počítače

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

Vytvoření virtuálního počítače trvá několik minut.

Ověření přístupu k účtu úložiště

Azure Portal

Virtuální počítač, který jste vytvořili dříve, který je přiřazen k privátní podsíti podsítě, slouží k potvrzení přístupu k účtu úložiště. Virtuální počítač, který jste vytvořili v předchozí části, která je přiřazená podsíti podsítě 1 , slouží k potvrzení, že je blokovaný přístup k účtu úložiště.

Získání přístupového klíče účtu úložiště

1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

2. V účtech úložiště vyberte svůj účet úložiště.

3. V části Zabezpečení a sítě vyberte Přístupové klíče.

4. Zkopírujte hodnotu klíče1. Možná budete muset vybrat tlačítko Zobrazit , aby se zobrazil klíč.

   

5. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

6. Vyberte vm-private.

7. Vyberte Bastion v operacích.

8. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Vyberte Připojit.

9. Otevřete Windows PowerShell. Pomocí následujícího skriptu namapujte sdílenou složku Azure na jednotku Z.

   • Nahraďte <storage-account-key> klíčem, který jste zkopírovali v předchozím kroku.

   • Nahraďte <storage-account-name> názvem vašeho účtu úložiště. V tomto příkladu se jedná o úložiště8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell vrátí podobný výstup jako v následujícím příkladu:

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   Sdílená složka Azure se úspěšně namapovala na jednotku Z.

10. Zavřete připojení Bastionu k privátnímu virtuálnímu počítači.

PowerShell

Virtuální počítač, který jste vytvořili dříve, který je přiřazen k privátní podsíti podsítě, slouží k potvrzení přístupu k účtu úložiště. Virtuální počítač, který jste vytvořili v předchozí části, která je přiřazená podsíti podsítě 1 , slouží k potvrzení, že je blokovaný přístup k účtu úložiště.

Získání přístupového klíče účtu úložiště

1. Přihlaste se k webu Azure Portal.

2. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

3. V účtech úložiště vyberte svůj účet úložiště.

4. V části Zabezpečení a sítě vyberte Přístupové klíče.

5. Zkopírujte hodnotu klíče1. Možná budete muset vybrat tlačítko Zobrazit , aby se zobrazil klíč.

   

6. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

7. Vyberte vm-private.

8. V přehledu vyberte Připojit a připojit přes Bastion.

9. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Vyberte Připojit.

10. Otevřete Windows PowerShell. Pomocí následujícího skriptu namapujte sdílenou složku Azure na jednotku Z.

    • Nahraďte <storage-account-key> klíčem, který jste zkopírovali v předchozím kroku.

    • Nahraďte <storage-account-name> názvem vašeho účtu úložiště. V tomto příkladu se jedná o úložiště8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell vrátí podobný výstup jako v následujícím příkladu:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    Sdílená složka Azure se úspěšně namapovala na jednotku Z.

11. Ověřte, že virtuální počítač nemá žádné odchozí připojení k žádným jiným veřejným IP adresům:

    ping bing.com
    

    Neobdržíte žádné odpovědi, protože skupina zabezpečení sítě přidružená k privátní podsíti neumožňuje odchozí přístup k veřejným IP adresům kromě adres přiřazených službě Azure Storage.

12. Zavřete připojení Bastionu k privátnímu virtuálnímu počítači.

Rozhraní příkazového řádku

Připojte se k privátnímu virtuálnímu počítači SSH.

1. Spuštěním následujícího příkazu uložte IP adresu virtuálního počítače jako proměnnou prostředí:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Vytvořte složku pro přípojný bod:

   sudo mkdir /mnt/file-share
   

3. Připojte sdílenou složku Azure k vytvořenému adresáři. Před spuštěním následujícího příkazu nahraďte <storage-account-name> názvem účtu a <storage-account-key> klíčem, který jste získali v části Vytvoření účtu úložiště.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Zobrazí se user@vm-private:~$ výzva. Sdílená složka Azure se úspěšně připojila ke sdílené složce /mnt/file-share.

4. Ověřte, že virtuální počítač nemá žádné odchozí připojení k žádným jiným veřejným IP adresům:

   ping bing.com -c 4
   

   Neobdržíte žádné odpovědi, protože skupina zabezpečení sítě přidružená k privátní podsíti podsítě neumožňuje odchozí přístup k veřejným IP adresům, než jsou adresy přiřazené ke službě Azure Storage.

5. Ukončete relaci SSH k virtuálnímu počítači privátnímu virtuálnímu počítači.

Ověření odepření přístupu k účtu úložiště

Azure Portal

Z vm-1

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Vyberte vm-1.

3. Vyberte Bastion v operacích.

4. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Vyberte Připojit.

5. Opakujte předchozí příkaz a pokuste se jednotku namapovat na sdílenou složku v účtu úložiště. Možná budete muset znovu zkopírovat přístupový klíč účtu úložiště pro tento postup:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Měla by se zobrazit následující chybová zpráva:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Zavřete připojení Bastionu k virtuálnímu počítači vm-1.

Z místního počítače

1. Do vyhledávacího pole v horní části portálu zadejte účet úložiště. Vevýsledcíchch

2. V účtech úložiště vyberte svůj účet úložiště.

3. V úložišti dat vyberte Sdílené složky.

4. Vyberte sdílenou složku.

5. V nabídce vlevo vyberte Procházet .

6. Měla by se zobrazit následující chybová zpráva:

   

Poznámka:

Přístup byl odepřen, protože váš počítač není v privátní podsíti virtuální sítě vnet-1 .

PowerShell

Z vm-1

1. Do vyhledávacího pole v horní části portálu zadejte virtuální počítač. Ve výsledcích hledání vyberte virtuální počítače .

2. Vyberte vm-1.

3. Vyberte Bastion v operacích.

4. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. Vyberte Připojit.

5. Opakujte předchozí příkaz a pokuste se jednotku namapovat na sdílenou složku v účtu úložiště. Možná budete muset znovu zkopírovat přístupový klíč účtu úložiště pro tento postup:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Měla by se zobrazit následující chybová zpráva:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Zavřete připojení Bastionu k virtuálnímu počítači vm-1.

8. Z počítače se pokuste zobrazit sdílené složky v účtu úložiště pomocí následujícího příkazu:

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Přístup byl zamítnut. Zobrazí se výstup podobný následujícímu příkladu.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Váš počítač není v privátní podsíti virtuální sítě vnet-1.

Rozhraní příkazového řádku

Připojte se přes SSH k veřejnému virtuálnímu počítači.

1. Spuštěním následujícího příkazu uložte IP adresu virtuálního počítače jako proměnnou prostředí:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Vytvořte adresář pro přípojný bod:

   sudo mkdir /mnt/file-share
   

3. Pokuste se připojit sdílenou složku Azure k vytvořenému adresáři. Tento článek předpokládá, že jste nasadili nejnovější verzi Ubuntu. Pokud používáte starší verze Ubuntu, přečtěte si další pokyny k připojení sdílených složek v Linuxu . Před spuštěním následujícího příkazu nahraďte <storage-account-name> názvem účtu a <storage-account-key> klíčem, který jste získali v části Vytvoření účtu úložiště:

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Přístup byl odepřen a zobrazí se mount error(13): Permission denied chyba, protože virtuální počítač je nasazený v rámci veřejné podsítě podsítě. Veřejná podsíť podsítě nemá povolený koncový bod služby pro Azure Storage a účet úložiště umožňuje přístup k síti jenom z privátní podsítě podsítě, nikoli z veřejné podsítě podsítě.

4. Ukončete relaci SSH s veřejným virtuálním počítačem.

5. Z počítače se pokuste zobrazit sdílené složky v účtu úložiště pomocí příkazu az storage share list. Nahraďte a nahraďte <account-name> názvem a klíčem účtu úložiště v části Vytvoření účtu<account-key> úložiště:

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   Přístup byl odepřen a tento požadavek nemá oprávnění k provedení této operace , protože váš počítač není v privátní podsíti virtuální sítě vnet-1 .

Azure Portal

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

PowerShell

Pokud už ji nepotřebujete, můžete k odebrání skupiny prostředků a všech prostředků, které obsahuje, použít Remove-AzResourceGroup :

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

Rozhraní příkazového řádku

Vyčištění prostředků

Pokud už ji nepotřebujete, pomocí příkazu az group delete odeberte skupinu prostředků a všechny prostředky, které obsahuje.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Další kroky

V tomto kurzu:

• Povolili jste koncový bod služby pro podsíť virtuální sítě.

• Dozvěděli jste se, že koncové body služeb můžete povolit pro prostředky nasazené z několika služeb Azure.

• Vytvořili jste účet služby Azure Storage a omezili jste síťový přístup k účtu úložiště jenom na prostředky v podsíti virtuální sítě.

Další informace o koncových bodech služeb najdete v tématech Přehled koncových bodů služeb a Správa podsítí.

Pokud máte ve svém účtu více virtuálních sítí, můžete mezi nimi vytvořit propojení, aby mezi nimi mohly komunikovat prostředky. Informace o postupu propojení virtuálních sítí najdete v dalším kurzu.

Připojení virtuálních sítí