Bearbeiten

Einschränken des Import-/Exportzugriffs für verwaltete Datenträger mithilfe von Azure Private Link

  • Vorgehensweise

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Sie können private Endpunkte verwenden, um den Export und Import verwalteter Datenträger einzuschränken und sichereren Zugriff auf Daten über eine private Verbindung von Clients in Ihrem virtuellen Azure-Netzwerk zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum des virtuellen Netzwerks für Ihre verwalteten Datenträger. Der Netzwerkdatenverkehr zwischen den Clients im virtuellen Netzwerk und den verwalteten Datenträgern wird nur über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbonenetzwerk geleitet und somit nicht dem öffentlichen Internet ausgesetzt.

Wenn Sie Private Link zum Exportieren und Importieren verwalteter Datenträger verwenden möchten, erstellen Sie zunächst eine Datenträgerzugriffsressource und verknüpfen sie mit einem virtuellen Netzwerk im gleichen Abonnement, indem Sie einen privaten Endpunkt erstellen. Ordnen Sie dann einer Instanz des Datenträgerzugriffs einen Datenträger oder eine Momentaufnahme zu.

Voraussetzungen

Keine

Einschränkungen

  • Sie können maximal fünf Datenträger oder Momentaufnahmen gleichzeitig mit demselben Datenträgerzugriffsobjekt importieren oder exportieren.
  • Sie können nicht auf einen Datenträger hochladen, für den sowohl ein Datenträgerzugriffsobjekt als auch eine Datenträgerverschlüsselung festgelegt ist.

Erstellen einer Datenträgerzugriffsressource

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu Datenträgerzugriffe.

  2. Wählen Sie + Erstellen aus, um eine neue Datenträgerzugriffsressource zu erstellen.

  3. Wählen Sie im Bereich Datenträgerzugriff erstellen Ihr Abonnement und eine Ressourcengruppe aus. Geben Sie unter Details zur Instanz einen Namen ein, und wählen Sie eine Region aus.

    Screenshot des Bereichs zum Erstellen des Datenträgerzugriffs. Eingeben des gewünschten Namens, Auswählen einer Region und einer Ressourcengruppe und Fortfahren.

  4. Klicken Sie auf Überprüfen + erstellen.

  5. Wenn Ihre Ressource erstellt wurde, navigieren Sie direkt zu ihr.

    Screenshot der Schaltfläche „Zu Ressource wechseln“ im Portal.

Erstellen eines privaten Endpunkts

Als Nächstes müssen Sie einen privaten Endpunkt erstellen und für den Datenträgerzugriff konfigurieren.

  1. Wählen Sie für Ihre Datenträgerzugriffsressource unter Einstellungen die Option Verbindungen mit privatem Endpunkt aus.

  2. Wählen Sie + Privaten Endpunkt hinzufügen aus.

    Screenshot: Übersichtsbereich für die Datenträgerzugriffsressource. „Verbindungen mit privatem Endpunkt“ ist hervorgehoben.

  3. Wählen Sie im Bereich Privaten Endpunkt erstellen eine Ressourcengruppe aus.

  4. Geben Sie einen Namen ein, und wählen Sie die gleiche Region aus, in der auch Ihre Datenträgerzugriffsressource erstellt wurde.

    Screenshot: Workflow zur Erstellung des privaten Endpunkts (erster Bereich). Falls Sie nicht die richtige Region auswählen, treten später unter Umständen Fehler auf.

  5. Klicken Sie auf Weiter: Ressource aus.

  6. Wählen Sie im Bereich Ressource die Option Mit einer Azure-Ressource in meinem Verzeichnis verbinden aus.

  7. Wählen Sie für Ressourcentyp den Wert Microsoft.Compute/diskAccesses aus.

  8. Wählen Sie für Ressource die zuvor erstellte Datenträgerzugriffsressource aus.

  9. Übernehmen Sie unter Untergeordnete Zielressource den Wert Datenträger.

    Screenshot des Workflow zum Erstellen des privaten Endpunkts (zweiter Bereich). Mit hervorgehobenen Werten (Ressourcentyp, Ressource, Untergeordnete Zielressource).

  10. Wählen Sie Weiter: Konfiguration aus.

  11. Wählen Sie das virtuelle Netzwerk aus, auf das Sie den Import und Export von Datenträgern beschränken möchten. Dadurch wird der Import und Export Ihres Datenträgers für andere virtuelle Netzwerke verhindert.

    Hinweis

    Wenn für das ausgewählte Subnetz eine Netzwerksicherheitsgruppe (NSG) aktiviert ist, wird diese nur für private Endpunkte in diesem Subnetz deaktiviert. Für andere Ressourcen in diesem Subnetz wird die Netzwerksicherheitsgruppe weiterhin durchgesetzt.

  12. Wählen Sie das richtige Subnetz aus.

    Screenshot: Workflow zum Erstellen des privaten Endpunkts (dritter Bereich) mit hervorgehobenem virtuellem Netzwerk und Subnetz

  13. Klicken Sie auf Überprüfen + erstellen.

Aktivieren des privaten Endpunkts auf Ihrem Datenträger

Führen Sie folgende Schritte aus:

  1. Navigieren Sie zu dem Datenträger, den Sie konfigurieren möchten.

  2. Wählen Sie unter Einstellungen die Option Netzwerk aus.

  3. Wählen Sie Private endpoint (through disk access) (Privater Endpunkt (über Datenträgerzugriff)) und dann den zuvor erstellten Datenträgerzugriff aus.

    Screenshot: Bereich „Netzwerk“ für verwaltete Datenträger. Privater Endpunkt und ausgewählter Datenträgerzugriff hervorgehoben. Durch das Speichern wird der Datenträger für diesen Zugriff konfiguriert.

  4. Wählen Sie Speichern aus.

    Sie haben nun eine private Verbindung konfiguriert, die Sie zum Importieren und Exportieren Ihres verwalteten Datenträgers verwenden können. Sie können mit der Azure CLI oder dem Azure PowerShell-Modul importieren. Sie können entweder Windows- oder Linux-VHDs exportieren.

Zugehöriger Inhalt