Alkalmazásbiztonsági csoport konfigurálása privát végponttal

Az Azure Private Link privát végpontjai támogatják az alkalmazásbiztonsági csoportokat (ASG-k) a hálózati biztonság érdekében. Privát végpontokat társíthat meglévő ASG-hez a jelenlegi infrastruktúrában a virtuális gépek és más hálózati erőforrások mellett.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Ha még nem rendelkezik Azure-fiókkal, hozzon létre ingyenes fiókot.

• Az Azure-előfizetésben üzembe helyezett Prémium V2 szintű vagy magasabb App Service-csomaggal rendelkező Azure-webalkalmazás.

  • További információ és példa : Rövid útmutató: ASP.NET Core-webalkalmazás létrehozása az Azure-ban.
  • A cikkben szereplő példa webalkalmazás neve myWebApp1979. Cserélje le a példát a webalkalmazás nevére.

• Egy meglévő ASG az előfizetésben. Az ASG-kkel kapcsolatos további információkért tekintse meg az alkalmazásbiztonsági csoportokat.

  • A cikkben használt ASG-példa neve myASG. Cserélje le a példát az alkalmazásbiztonsági csoportra.

• Meglévő Azure-beli virtuális hálózat és alhálózat az előfizetésben. A virtuális hálózat létrehozásával kapcsolatos további információkért tekintse meg a rövid útmutatót: Virtuális hálózat létrehozása az Azure Portal használatával.

  • A cikkben használt példa virtuális hálózat neve myVNet. Cserélje le a példát a virtuális hálózatra.

• Az Azure CLI legújabb verziója telepítve van.

  • Futtassa az Azure CLI verzióját egy terminál vagy parancsablakban az --version. A legújabb verzióért tekintse meg a legújabb kibocsátási megjegyzéseket.
  • Ha nem rendelkezik az Azure CLI legújabb verziójával, frissítse az operációs rendszer vagy platform telepítési útmutatóját követve.

Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez a cikkhez az Azure PowerShell-modul 5.4.1-es vagy újabb verziójára van szükség. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha frissítésre van szükség, olvassa el az Azure PowerShell-modul telepítését ismertető szakaszt. Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount kell.

Privát végpont létrehozása ASG-vel

Az ASG-t társíthatja egy privát végponttal a létrehozásakor. Az alábbi eljárások bemutatják, hogyan társíthat egy ASG-t egy privát végponthoz a létrehozásakor.

Portál

1. Jelentkezzen be az Azure Portalra.

2. A portál tetején található keresőmezőbe írja be a privát végpontot. Válassza ki a privát végpontokat a keresési eredmények között.

3. Válassza a + Létrehozás privát végpontokban lehetőséget.

4. A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Érték	Beállítás
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza ki az erőforráscsoportot. Ebben a példában ez a myResourceGroup.
   Példány részletei
   Név	Írja be a myPrivateEndpointot.
   Régió	Válassza az USA keleti régiója lehetőséget.

5. Válassza a Tovább elemet : Erőforrás a lap alján.

6. Az Erőforrás lapon adja meg vagy válassza ki a következő adatokat:

   Érték	Beállítás
   Kapcsolati módszer	Válassza Csatlakozás egy Azure-erőforráshoz a címtáramban.
   Előfizetés	Válassza ki előfizetését.
   Erőforrás típusa	Válassza a Microsoft.Web/sites lehetőséget.
   Erőforrás	Válassza a mywebapp1979 lehetőséget.
   Cél-alforrás	Válassza ki a webhelyeket.

7. Válassza a Tovább elemet : Virtuális hálózat a lap alján.

8. A Virtuális hálózat lapon adja meg vagy válassza ki a következő adatokat:

   Érték	Beállítás
   Hálózat
   Virtuális hálózat	Válassza ki a myVNetet.
   Alhálózat	Válassza ki az alhálózatot. Ebben a példában ez a myVNet/myBackendSubnet(10.0.0.0/24).
   Engedélyezze a hálózati házirendeket az alhálózat összes privát végpontja számára.	Hagyja bejelölve az alapértelmezett értéket.
   Alkalmazásbiztonsági csoport
   Alkalmazásbiztonsági csoport	Válassza ki a myASG-t.

   

9. Válassza a Tovább: DNS lehetőséget a lap alján.

10. Válassza a Tovább elemet : Címkék a lap alján.

11. Válassza a Tovább: Ellenőrzés és létrehozás lehetőségre.

12. Válassza a Létrehozás lehetőséget.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

Parancssori felület

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

ASG társítása meglévő privát végponttal

Az ASG-t társíthatja egy meglévő privát végponttal. Az alábbi eljárások bemutatják, hogyan társíthat ASG-t egy meglévő privát végponthoz.

Fontos

A szakasz lépéseinek végrehajtásához korábban üzembe helyezett privát végponttal kell rendelkeznie. Az ebben a szakaszban használt példavégpont neve myPrivateEndpoint. Cserélje le a példát a privát végpontra.

Portál

1. Jelentkezzen be az Azure Portalra.

2. A portál tetején található keresőmezőbe írja be a privát végpontot. Válassza ki a privát végpontokat a keresési eredmények között.

3. Privát végpontokon válassza a myPrivateEndpoint lehetőséget.

4. A myPrivateEndpointban a Gépház válassza ki az Alkalmazásbiztonsági csoportokat.

5. Az alkalmazásbiztonsági csoportokban válassza a myASG elemet a legördülő listában.

   

6. Válassza a Mentés lehetőséget.

PowerShell

Az ASG társítása egy meglévő privát végponttal az Azure PowerShell-lel jelenleg nem támogatott.

Parancssori felület

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Következő lépések

További információ az Azure Private Linkről:

• Mi az az Azure privát kapcsolat?