Konfigurieren einer Anwendungssicherheitsgruppe (ASG) mit einem privaten Endpunkt

Private Azure Private Link-Endpunkte unterstützen Anwendungssicherheitsgruppen (APPLICATION Security Groups, ASGs) für die Netzwerksicherheit. Sie können private Endpunkte einer vorhandenen ASG in Ihrer aktuellen Infrastruktur zusammen mit virtuellen Computern und anderen Netzwerkressourcen zuordnen.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie noch nicht über ein Azure-Konto verfügen, erstellen Sie ein kostenloses Konto.

• Eine Azure Web App mit einem Premium V2-Stufen- oder höheren App-Serviceplan, der in Ihrem Azure-Abonnement bereitgestellt wird.

  • Weitere Informationen und ein Beispiel finden Sie unter Schnellstart: Erstellen von ASP.NET Core-Web-Apps in Azure.
  • Die Beispielweb-App in diesem Artikel heißt "myWebApp1979". Ersetzen Sie das Beispiel durch ihren Web-App-Namen.

• Ein vorhandenes ASG in Ihrem Abonnement. Weitere Informationen zu ASGs finden Sie unter Anwendungssicherheitsgruppen.

  • Die Beispiel-ASG, die in diesem Artikel verwendet wird, ist myASG. Ersetzen Sie das Beispiel durch Ihre Anwendungssicherheitsgruppe.

• Ein vorhandenes virtuelles Azure-Netzwerk und -Subnetz in Ihrem Abonnement. Weitere Informationen zum Erstellen eines virtuellen Netzwerks finden Sie unter Schnellstart: Erstellen eines virtuellen Netzwerks im Azure-Portal.

  • Das in diesem Artikel verwendete virtuelle Beispielnetzwerk heißt myVNet. Ersetzen Sie das Beispiel durch Ihr virtuelles Netzwerk.

• Installation der aktuellen Version der Azure CLI.

  • Überprüfen Sie Ihre Version der Azure-Befehlszeilenschnittstelle, indem Sie in einem Terminal oder Befehlsfenster az --versionausführen. Die neueste Version finden Sie unter Versionshinweise.
  • Sollten Sie nicht über die neueste Version der Azure CLI verfügen, aktualisieren Sie die Version wie unter Installationsleitfaden für Ihr Betriebssystem oder Ihre Plattform beschrieben.

Wenn Sie PowerShell lokal installieren und verwenden möchten, erfordert dieser Artikel Azure PowerShell-Modulversion 5.4.1 oder höher. Führen Sie Get-Module -ListAvailable Az aus, um die installierte Version zu ermitteln. Sollte ein Upgrade erforderlich sein, lesen Sie Installieren des Azure PowerShell-Moduls. Wenn Sie PowerShell lokal ausführen, müssen Sie auch Connect-AzAccount ausführen, um eine Verbindung mit Azure herzustellen.

Erstellen eines privaten Endpunkts mit einer ASG

Sie können ein ASG einem privaten Endpunkt zuordnen, wenn es erstellt wird. Die folgenden Verfahren veranschaulichen, wie einer ASG ein privater Endpunkt zugeordnet wird, wenn sie erstellt wird.

Portal

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie im oberen Bereich des Portals den Suchbegriff Privater Endpunkt in das Suchfeld ein. Wählen Sie Private Endpunkte in den Suchergebnissen aus.

3. Wählen Sie +Erstellen in Private Endpunkte aus.

4. Geben Sie auf der Registerkarte "Grundlagen" eines privaten Endpunkts die folgenden Informationen ein, oder wählen Sie sie aus:

   Wert	Einstellung
   Projektdetails
   Subscription	Wählen Sie Ihr Abonnement aus.
   Ressourcengruppe	Wählen Sie Ihre Ressourcengruppe aus. In diesem Beispiel handelt es sich um myResourceGroup.
   Instanzendetails
   Name	Geben Sie myPrivateEndpoint ein.
   Region	Wählen Sie USA, Osten aus.

5. Wählen Sie unten auf der Seite Weiter: Ressource aus.

6. Geben Sie auf der Registerkarte "Ressource " die folgenden Informationen ein, oder wählen Sie sie aus:

   Wert	Einstellung
   Verbindungsmethode	Wählen Sie Mit einer Azure-Ressource in meinem Verzeichnis verbinden aus.
   Subscription	Wählen Sie Ihr Abonnement aus.
   Ressourcentyp	Wählen Sie Microsoft.Web/sites aus.
   Resource	Wählen Sie mywebapp1979 aus.
   Unterressource des Ziels	Wählen Sie Sites aus.

7. Wählen Sie unten auf der Seite Weiter: Virtuelles Netzwerk aus.

8. Geben Sie auf der Registerkarte "Virtuelles Netzwerk " die folgenden Informationen ein, oder wählen Sie sie aus:

   Wert	Einstellung
   Netzwerk
   Virtuelles Netzwerk	Wählen Sie myVNet aus.
   Subnet	Wählen Sie das Subnetz aus. In diesem Beispiel ist das myVNet/myBackendSubnet(10.0.0.0/24).
   Aktivieren Sie Netzwerkrichtlinien für alle privaten Endpunkte in diesem Subnetz.	Lassen Sie die Standardeinstellung aktiviert.
   Anwendungssicherheitsgruppe
   Anwendungssicherheitsgruppe	Wählen Sie myASG aus.

   

9. Wählen Sie unten auf der Seite Weiter: DNS aus.

10. Klicken Sie auf Weiter: Tags unten auf der Seite.

11. Klicken Sie auf Weiter: Überprüfen + erstellen.

12. Klicken Sie auf Erstellen.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

BEFEHLSZEILENSCHNITTSTELLE (CLI)

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Zuordnen einer ASG zu einem vorhandenen privaten Endpunkt

Sie können ein ASG einem vorhandenen privaten Endpunkt zuordnen. Die folgenden Verfahren veranschaulichen, wie einer ASG ein vorhandener privater Endpunkt zugeordnet wird.

Wichtig

Sie müssen über einen zuvor bereitgestellten privaten Endpunkt verfügen, um mit den Schritten in diesem Abschnitt fortzufahren. Der in diesem Abschnitt verwendete Beispielendpunkt heißt myPrivateEndpoint. Ersetzen Sie das Beispiel durch Ihren privaten Endpunkt.

Portal

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie im oberen Bereich des Portals den Suchbegriff Privater Endpunkt in das Suchfeld ein. Wählen Sie Private Endpunkte in den Suchergebnissen aus.

3. Wählen Sie unter Private Endpunkte die Option myPrivateEndpoint aus.

4. Wählen Sie unter myPrivateEndpoint in Einstellungen die Option Anwendungssicherheitsgruppen aus.

5. Wählen Sie in Anwendungssicherheitsgruppen "myASG" im Dropdownfeld aus.

   

6. Wählen Sie Speichern.

PowerShell

Das Zuordnen einer ASG mit einem vorhandenen privaten Endpunkt mit Azure PowerShell wird derzeit nicht unterstützt.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Nächste Schritte

Weitere Informationen zu Azure Private Link finden Sie hier:

• Was ist Azure Private Link?