Oktatóanyag: Csatlakozás tárfiókhoz egy Azure-beli privát végpont használatával
Az Azure Private Endpoint az Azure Private Link alapvető építőeleme. Lehetővé teszi az Azure-erőforrások, például a virtuális gépek (VM-ek) privát és biztonságos kommunikációját a Private Link-erőforrásokkal, például az Azure Storage-ral.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Hozzon létre egy virtuális hálózatot és egy megerősített gazdagépet.
- Hozzon létre egy tárfiókot, és tiltsa le a nyilvános hozzáférést.
- Hozzon létre egy privát végpontot a tárfiókhoz.
- Virtuális gépet hoz létre.
- Tesztelje a privát tárfiók végponthoz való kapcsolódást.
Előfeltételek
- Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Bejelentkezés az Azure-ba
Jelentkezzen be az Azure Portalra.
Virtuális hálózat és Azure Bastion-gazdagép létrehozása
Az alábbi eljárás létrehoz egy virtuális hálózatot egy erőforrás-alhálózattal, egy Azure Bastion-alhálózattal és egy Bastion-gazdagéppel:
A portálon keresse meg és válassza ki a virtuális hálózatokat.
A Virtuális hálózatok lapon válassza a + Létrehozás lehetőséget.
A Virtuális hálózat létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza az Új létrehozása lehetőséget. Adja meg a test-rg nevet. Válassza az OK gombot. Példány részletei Név Adja meg a vnet-1 értéket. Régió Válassza az USA 2. keleti régiója lehetőséget. A Tovább gombra kattintva lépjen a Biztonság lapra.
Az Azure Bastion szakaszban válassza a Bastion engedélyezése lehetőséget.
A Bastion a böngészővel csatlakozik a virtuális hálózat virtuális gépeihez a Secure Shell (SSH) vagy a Távoli asztali protokoll (RDP) használatával a privát IP-címek használatával. A virtuális gépeknek nincs szükségük nyilvános IP-címekre, ügyfélszoftverekre vagy speciális konfigurációra. További információ: Mi az Azure Bastion?
Feljegyzés
Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.
Az Azure Bastionban adja meg vagy válassza ki a következő információkat:
Beállítás Érték Azure Bastion gazdagép neve Adja meg a bástyát. Nyilvános Azure Bastion IP-cím Válassza a Nyilvános IP-cím létrehozása lehetőséget. Adja meg a nyilvános ip-bastion nevet. Válassza az OK gombot. A Tovább gombra kattintva lépjen az IP-címek lapra.
Az Alhálózatok címtartományában válassza ki az alapértelmezett alhálózatot.
Az Alhálózat szerkesztése területen adja meg vagy válassza ki a következő adatokat:
Beállítás Érték Alhálózat részletei Alhálózati sablon Hagyja meg az alapértelmezett értéket. Név Adja meg az 1. alhálózatot. Kezdőcím Hagyja meg a 10.0.0.0 alapértelmezett értékét. Alhálózat mérete Hagyja meg a /24 (256 cím) alapértelmezett értékét. Válassza a Mentés lehetőséget.
Válassza a Véleményezés + létrehozás lehetőséget az ablak alján. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.
Tárfiók létrehozása
Hozzon létre egy Azure Storage-fiókot a cikk lépéseihez. Ha már van tárfiókja, használhatja helyette.
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
Válassza a +Létrehozás lehetőséget.
A Tárfiók létrehozása alapismeretek lapján adja meg vagy válassza ki a következő adatokat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza a test-rg lehetőséget. Példány részletei Tárfiók neve Adja meg a storage1 értéket. Ha a név nem érhető el, adjon meg egy egyedi nevet. Hely Válassza az USA 2. keleti régióját. Teljesítmény Hagyja meg az alapértelmezett Standard értéket. Redundancia Válassza a helyileg redundáns tárolás (LRS) lehetőséget. Válassza a Véleményezés lehetőséget.
Válassza a Létrehozás lehetőséget.
Tárfiókhoz való nyilvános hozzáférés letiltása
A privát végpont létrehozása előtt ajánlott letiltani a tárfiókhoz való nyilvános hozzáférést. A tárfiókhoz való nyilvános hozzáférés letiltásához kövesse az alábbi lépéseket.
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
Válassza ki a Storage1 elemet vagy a meglévő tárfiók nevét.
A Biztonság + hálózatkezelés területen válassza a Hálózatkezelés lehetőséget.
A Nyilvános hálózati hozzáférés Tűzfalak és virtuális hálózatok lapján válassza a Letiltva lehetőséget.
Válassza a Mentés lehetőséget.
Privát végpont létrehozása
A portál tetején található keresőmezőbe írja be a privát végpontot. Válassza ki a privát végpontokat.
Válassza a + Létrehozás privát végpontokban lehetőséget.
A Privát végpont létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat.
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport A test-rg kiválasztása Példány részletei Név Adja meg a privát végpontot. Hálózati adapter neve Hagyja meg a private-endpoint-nic alapértelmezett értékét. Régió Válassza az USA 2. keleti régiója lehetőséget. Válassza a Tovább: Erőforrás lehetőséget.
Az Erőforrás panelen adja meg vagy válassza ki a következő adatokat.
Beállítás Érték Kapcsolati módszer Hagyja meg az alapértelmezett Csatlakozás egy Azure-erőforrásra a címtáramban. Előfizetés Válassza ki előfizetését. Erőforrás típusa Válassza a Microsoft.Storage/StorageAccounts lehetőséget. Erőforrás Válassza ki a Storage-1 vagy a tárfiókot. Cél-alforrás Válassza ki a blobot. Válassza a Következő: Virtuális hálózat lehetőséget.
A Virtuális hálózatban adja meg vagy válassza ki a következő adatokat.
Beállítás Érték Hálózat Virtuális hálózat Válassza ki a vnet-1 (test-rg) elemet. Alhálózat Válassza az 1. alhálózatot. Hálózati szabályzat privát végpontokhoz Válassza a szerkesztés lehetőséget a hálózati házirend magánvégpontokra való alkalmazásához. Az alhálózati hálózati házirend szerkesztése területen jelölje be a Hálózati biztonsági csoportok és az Útvonaltáblák jelölőnégyzetet az alhálózat összes privát végpontjának Hálózati házirendek beállításában. Válassza a Mentés lehetőséget. További információt a privát végpontok hálózati házirendjeinek kezelése című témakörben talál . Beállítás Érték Privát IP-konfiguráció Válassza az IP-cím dinamikus lefoglalása lehetőséget. Válassza a Következő: DNS lehetőséget.
Hagyja meg az alapértelmezett értékeket a DNS-ben. Válassza a Tovább: Címkék, majd a Következő: Véleményezés + létrehozás lehetőséget.
Válassza a Létrehozás lehetőséget.
Teszt virtuális gép létrehozása
Az alábbi eljárás létrehoz egy vm-1 nevű teszt virtuális gépet (VM) a virtuális hálózaton.
A portálon keresse meg és válassza ki a virtuális gépeket.
A virtuális gépeken válassza a + Létrehozás, majd az Azure virtuális gép lehetőséget.
A Virtuális gép létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza a test-rg lehetőséget. Példány részletei Virtuális gép neve Adja meg a vm-1 értéket. Régió Válassza az USA 2. keleti régiója lehetőséget. Rendelkezésre állási beállítások Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget. Biztonsági típus Hagyja meg a Standard alapértelmezett értékét. Kép Válassza a Windows Server 2022 Datacenter – x64 Gen2 lehetőséget. Virtuálisgép-architektúra Hagyja meg az x64 alapértelmezett értékét. Méret Válasszon ki egy méretet. Rendszergazda istrator-fiók Hitelesítés típusa Válassza a Jelszó lehetőséget. Felhasználónév Adja meg az azureusert. Jelszó Adjon meg egy jelszót. Jelszó megerősítése A jelszó újraküldése. Bejövő portszabályok Nyilvános bejövő portok Válassza a Nincs lehetőséget. Válassza a lap tetején található Hálózatkezelés lapot.
Adja meg vagy válassza ki a következő adatokat a Hálózat lapon :
Beállítás Érték Hálózati adapter Virtuális hálózat Válassza a vnet-1 lehetőséget. Alhálózat Válassza az 1. alhálózatot (10.0.0.0/24). Nyilvános IP-cím Válassza a Nincs lehetőséget. Hálózati hálózati biztonsági csoport Válassza a Speciális lehetőséget. Hálózati biztonsági csoport konfigurálása Válassza az Új létrehozása lehetőséget. Adja meg az nsg-1 nevet. Hagyja a többit az alapértelmezett értéken, és válassza az OK gombot. Hagyja meg a többi beállítást az alapértelmezett értéken, és válassza a Véleményezés + létrehozás lehetőséget.
Tekintse át a beállításokat, és válassza a Létrehozás lehetőséget.
Feljegyzés
A megerősített gazdagéppel rendelkező virtuális hálózatok virtuális gépeinek nincs szükségük nyilvános IP-címekre. A Bastion biztosítja a nyilvános IP-címet, a virtuális gépek pedig privát IP-címeket használnak a hálózaton belüli kommunikációhoz. A nyilvános IP-címeket a megerősített virtuális hálózatokban lévő virtuális gépekről is eltávolíthatja. További információ: Nyilvános IP-cím társítása azure-beli virtuális gépről.
Feljegyzés
Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.
Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:
- A virtuális géphez nyilvános IP-cím van hozzárendelve.
- A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
- Egy Azure NAT Gateway-erőforrás van hozzárendelve a virtuális gép alhálózatához.
A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.
Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.
Tárelérési kulcs
A későbbi lépésekhez a tárelérési kulcsra van szükség. Lépjen a korábban létrehozott tárfiókra, és másolja a kapcsolati sztring a tárfiók hozzáférési kulcsával.
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
Válassza ki az előző lépésekben létrehozott tárfiókot vagy a meglévő tárfiókot.
A tárfiók Biztonság + hálózatkezelés szakaszában válassza az Access-kulcsokat.
Válassza a Megjelenítés lehetőséget, majd válassza az 1. kulcs Csatlakozás ion sztringjének másolását.
Blobtároló hozzáadása
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
Válassza ki az előző lépésekben létrehozott tárfiókot.
Az Adattárolás szakaszban válassza Tárolók lehetőséget.
Új tároló létrehozásához válassza a + Tároló lehetőséget.
Adja meg a tároló nevét, és válassza a Privát (névtelen hozzáférés nélküli) lehetőséget a nyilvános hozzáférési szint alatt.
Válassza a Létrehozás lehetőséget.
Privát végponthoz való kapcsolódás tesztelése
Ebben a szakaszban az előző lépésekben létrehozott virtuális gépet használja a tárfiókhoz való csatlakozáshoz a privát végponton a Microsoft Azure Storage Explorer használatával.
A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.
Válassza ki a vm-1 elemet.
Az Operations (Műveletek) területen válassza a Bastion lehetőséget.
Adja meg a virtuális gép létrehozása során megadott felhasználónevet és jelszót.
Válassza a Kapcsolódás lehetőséget.
Csatlakozás után nyissa meg a Windows PowerShellt a kiszolgálón.
Írja be
nslookup <storage-account-name>.blob.core.windows.net
. Cserélje le <a tárfiók nevét> az előző lépésekben létrehozott tárfiók nevére. Az alábbi példa a parancs kimenetét mutatja be.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.net
A tárfiók nevéhez a 10.0.0.10-ás privát IP-cím lesz visszaadva. Ez a cím a korábban létrehozott vnet-1 virtuális hálózat 1. alhálózatában található.
Telepítse a Microsoft Azure Storage Explorert a virtuális gépre.
A Microsoft Azure Storage Explorer telepítése után válassza a Befejezés lehetőséget. Hagyja bejelölve a jelölőnégyzetet az alkalmazás megnyitásához.
Válassza a Power Plug szimbólumot az Erőforrás kiválasztása párbeszédpanel megnyitásához a bal oldali eszköztáron.
Az Erőforrás kiválasztása területen válassza a Tárfiók vagy szolgáltatás lehetőséget, ha kapcsolatot szeretne hozzáadni a Microsoft Azure Storage Explorerben az előző lépésekben létrehozott tárfiókhoz.
A Csatlakozás ion metódus kiválasztása képernyőn válassza a Csatlakozás ion sztringet, majd a Tovább elemet.
A Csatlakozás ion sztring alatti mezőbe illessze be a kapcsolati sztring az előző lépésekben másolt tárfiókból. A tárfiók neve automatikusan kitöltődik a Megjelenítendő név mezőben.
Válassza a Tovább lehetőséget.
Ellenőrizze, hogy a beállítások helyesek-e az összegzésben.
Válassza Csatlakozás
Válassza ki a tárfiókot az Explorer menü Tárfiókok menüjéből.
Bontsa ki a tárfiókot, majd a Blob-tárolókat.
Megjelenik a korábban létrehozott tároló .
Zárja be a kapcsolatot a vm-1-hez.
Az erőforrások eltávolítása
Ha befejezte a létrehozott erőforrások használatát, törölheti az erőforráscsoportot és annak összes erőforrását:
Az Azure Portalon keresse meg és válassza ki az erőforráscsoportokat.
Az Erőforráscsoportok lapon válassza ki a test-rg erőforráscsoportot.
A test-rg lapon válassza az Erőforráscsoport törlése lehetőséget.
A törlés megerősítéséhez írja be a test-rg értéket az Erőforráscsoport neve mezőbe, majd válassza a Törlés lehetőséget.
Következő lépések
Ebben az oktatóanyagban megtanulta, hogyan hozhat létre:
Virtuális hálózat és megerősített gazdagép.
Virtuális gép.
Tárfiók és tároló.
Megtudhatja, hogyan csatlakozhat azure Cosmos DB-fiókhoz az Azure Private Endpointen keresztül: