Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A hálózati biztonsági szegély használatának első lépései az Azure Key Vault hálózati biztonsági szegélyének létrehozásával az Azure CLI használatával. A hálózati biztonsági szegély lehetővé teszi az Azure PaaS-erőforrások számára, hogy explicit, megbízható határokon belül kommunikáljanak. Ezután létrehoz és frissít egy PaaS-erőforrástársítást egy hálózati biztonsági szegélyprofilban. Ezután létre kell hoznia és frissítenie kell a hálózati biztonsági szegély hozzáférési szabályait. Miután végzett, töröl minden erőforrást, amit ebben a gyors útmutatóban létrehozott.
Fontos
A hálózati biztonsági szegély mostantól általánosan elérhető az Összes Nyilvános Azure-felhőrégióban. A támogatott szolgáltatásokról további információt a támogatott PaaS-szolgáltatások beépített privát kapcsolati erőforrásaiban talál."
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
- A legújabb Azure CLI, vagy használhatja az Azure Cloud Shellt a portálon.
- Ez a cikk az Azure CLI 2.38.0-s vagy újabb verzióját igényli. Az Azure Cloud Shell használata esetén a legújabb verzió már telepítve van.
- Az Azure CLI legújabb verziójára való frissítés után importálja a hálózati biztonsági szegély parancsokat a
az extension add --name nsphasználatával.
Csatlakozzon az Azure-fiókjához, és válassza ki az előfizetését
Első lépésként csatlakozzon az Azure Cloud Shellhez, vagy használja a helyi CLI-környezetet.
Ha az Azure Cloud Shellt használja, jelentkezzen be, és válassza ki az előfizetését.
Ha helyileg telepítette a parancssori felületet, jelentkezzen be a következő paranccsal:
# Sign in to your Azure account az loginA saját rendszerhéjában helyileg válassza ki az aktív előfizetést a következő paranccsal:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Erőforráscsoport és kulcstár létrehozása
A hálózati biztonsági szegély létrehozása előtt létre kell hoznia egy erőforráscsoportot és egy Key Vault erőforrást az az group create és az keyvault create használatával.
Ez a példa létrehoz egy resource-group nevű erőforráscsoportot a WestCentralUS helyen, és egy key-vault-YYYYDDMM nevű kulcstartót az erőforráscsoportban a következő parancsokkal:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Hálózati biztonsági szegély létrehozása
Ebben a lépésben hozzon létre egy hálózati biztonsági szegélyt az az network perimeter create paranccsal.
Note
Ne helyezzen személyes azonosításra alkalmas vagy bizalmas adatokat a hálózati biztonsági szegélyszabályokba vagy más hálózati biztonsági szegélykonfigurációba.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Új profillal való PaaS-erőforrások társításának létrehozása és frissítése
Ebben a lépésben létrehoz egy új profilt, és társítja a PaaS-erőforrást, az Azure Key Vaultot a profilhoz az az network perimeter profile create és az network perimeter association create parancsok használatával.
Note
Az --private-link-resource és --profile helyett a kulcstartó tároló és a profilazonosító értékeit adja meg a <PaaSArmId> és <networkSecurityPerimeterProfileId> paraméterekhez.
Hozzon létre egy új profilt a hálózati biztonsági szegélyhez a következő paranccsal:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterAz Azure Key Vault (PaaS-erőforrás) társítása a hálózati biztonsági szegélyprofillal az alábbi parancsokkal.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"A társítás frissítéséhez módosítsa a hozzáférési módot az kényszerítve értékre az az network perimeter association create paranccsal az alábbiak szerint:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
A hálózati biztonsági szegély hozzáférési szabályainak kezelése
Ebben a lépésben nyilvános IP-címelőtagokkal rendelkező hálózati biztonsági szegélyelérési szabályokat hoz létre, frissít és töröl az az network perimeter profile access-rule create paranccsal.
Hozzon létre egy bejövő hozzáférési szabályt a következő paranccsal létrehozott profil nyilvános IP-címelőtagjával:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Frissítse a bejövő hozzáférési szabályt egy másik nyilvános IP-címelőtaggal a következő paranccsal:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Ha törölnie kell egy hozzáférési szabályt, használja az az network perimeter profile access-rule delete parancsot:
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Note
A felügyelt identitás (MI) engedélyezésére az erőforrások közötti peremhálózaton belüli kommunikáció támogatásához van szükség. Bár bizonyos erőforrások bizonyos képességei (például az Azure SQL platform által felügyelt, SQL-ről SQL-háttérrendszerre irányuló kommunikációt használó funkciók) továbbra is működhetnek a Kezelt Identitás (Managed Identity) nélkül, erősen ajánlott ennek engedélyezése a biztonságos hozzáférés biztosítása érdekében ugyanazon határon belül vagy összekapcsolt határok között.
Az összes erőforrás törlése
Ha törölni szeretne egy hálózati biztonsági szegélyt és más erőforrásokat ebben a rövid útmutatóban, használja az alábbi az network perimeter parancsokat:
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Note
Ha eltávolítja az erőforrástársítást a hálózati biztonsági szegélyről, a hozzáférés-vezérlés visszaesik a meglévő erőforrás tűzfalkonfigurációjához. Ez azt eredményezheti, hogy az erőforrás tűzfal konfigurációjának megfelelően a hozzáférés engedélyezve vagy megtagadva lesz. Ha a PublicNetworkAccess a SecuredByPerimeter értékre van állítva, és a társítás törölve lett, az erőforrás zárolt állapotba kerül. További információ: Áttérés az Azure-beli hálózati biztonsági szegélyre.