Megosztás a következőn keresztül:

Azure CLI – A privát hivatkozásokkal rendelkező felügyelt lemezek importálási/exportálási hozzáférésének korlátozása

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

Privát végpontokkal korlátozhatja a felügyelt lemezek exportálását és importálását, és biztonságosan hozzáférhet az adatokhoz privát kapcsolaton keresztül az Azure-beli virtuális hálózat ügyfeleitől. A privát végpont a felügyelt lemezszolgáltatás virtuális hálózati címteréből származó IP-címet használ. A virtuális hálózaton lévő ügyfelek és a felügyelt lemezek közötti hálózati forgalom csak a virtuális hálózaton és a Microsoft gerinchálózatán található privát kapcsolaton keresztül halad át, így kiküszöböli a nyilvános internetről való kitettséget.

A felügyelt lemezek exportálásához/importálásához először hozzon létre egy lemezhozzáférési erőforrást, és csatolja egy virtuális hálózathoz ugyanabban az előfizetésben egy privát végpont létrehozásával. Ezután társítsa a lemezt vagy a pillanatképet egy lemezhozzáférés-példányhoz. Végül állítsa a lemez NetworkAccessPolicy tulajdonságát vagy a pillanatképet a következőre AllowPrivate: . Ez korlátozza a virtuális hálózathoz való hozzáférést.

Beállíthatja a NetworkAccessPolicy tulajdonságot, hogy megakadályozza, hogy DenyAll bárki exportáljon adatokat egy lemezről vagy egy pillanatképről. A NetworkAccessPolicy tulajdonság alapértelmezett értéke a következő AllowAll.

Korlátozások

  • Nem importálhat vagy exportálhat egyszerre ötnél több lemezt vagy pillanatképet ugyanazzal a lemezelérési objektummal.
  • Lemezhozzáférés-objektummal és lemeztitkosítási csoporttal rendelkező lemezre nem tölthető fel.

Jelentkezzen be az előfizetésbe, és állítsa be a változókat

subscriptionId=yourSubscriptionId
resourceGroupName=yourResourceGroupName
region=northcentralus
diskAccessName=yourDiskAccessForPrivateLinks
vnetName=yourVNETForPrivateLinks
subnetName=yourSubnetForPrivateLinks
privateEndPointName=yourPrivateLinkForSecureMDExportImport
privateEndPointConnectionName=yourPrivateLinkConnection

#The name of an existing disk which is the source of the snapshot
sourceDiskName=yourSourceDiskForSnapshot

#The name of the new snapshot which will be secured via Private Links
snapshotNameSecuredWithPL=yourSnapshotNameSecuredWithPL

az login

az account set --subscription $subscriptionId

Lemezhozzáférés létrehozása az Azure CLI használatával

az disk-access create -n $diskAccessName -g $resourceGroupName -l $region

diskAccessId=$(az disk-access show -n $diskAccessName -g $resourceGroupName --query [id] -o tsv)

Virtuális hálózat létrehozása

A hálózati házirendek, például a hálózati biztonsági csoportok (NSG) nem támogatottak a privát végpontok esetében. Egy privát végpont adott alhálózaton való üzembe helyezéséhez explicit letiltó beállítás szükséges az adott alhálózaton.

az network vnet create --resource-group $resourceGroupName \
    --name $vnetName \
    --subnet-name $subnetName

Alhálózati privát végpont házirendjeinek letiltása

Az Azure erőforrásokat helyez üzembe egy virtuális hálózaton belüli alhálózaton, ezért frissítenie kell az alhálózatot a privát végpont hálózati szabályzatainak letiltásához.

az network vnet subnet update --resource-group $resourceGroupName \
    --name $subnetName  \
    --vnet-name $vnetName \
    --disable-private-endpoint-network-policies true

Privát végpont létrehozása a lemezelérési objektumhoz

az network private-endpoint create --resource-group $resourceGroupName \
    --name $privateEndPointName \
    --vnet-name $vnetName  \
    --subnet $subnetName \
    --private-connection-resource-id $diskAccessId \
    --group-ids disks \
    --connection-name $privateEndPointConnectionName

A saját DNS zóna konfigurálása

Hozzon létre egy saját DNS Storage-blobtartományt, hozzon létre társítási kapcsolatot a virtuális hálózattal, és hozzon létre egy DNS-zónacsoportot a privát végpont és a saját DNS zóna társításához.

az network private-dns zone create --resource-group $resourceGroupName \
    --name "privatelink.blob.core.windows.net"

az network private-dns link vnet create --resource-group $resourceGroupName \
    --zone-name "privatelink.blob.core.windows.net" \
    --name yourDNSLink \
    --virtual-network $vnetName \
    --registration-enabled false 

az network private-endpoint dns-zone-group create \
   --resource-group $resourceGroupName \
   --endpoint-name $privateEndPointName \
   --name yourZoneGroup \
   --private-dns-zone "privatelink.blob.core.windows.net" \
   --zone-name disks

resourceGroupName=yourResourceGroupName
region=northcentralus
diskAccessName=yourDiskAccessName
diskName=yourDiskName
diskSkuName=Standard_LRS
diskSizeGB=128

diskAccessId=$(az resource show -n $diskAccessName -g $resourceGroupName --namespace Microsoft.Compute --resource-type diskAccesses --query [id] -o tsv)

az disk create -n $diskName \
-g $resourceGroupName \
-l $region \
--size-gb $diskSizeGB \
--sku $diskSkuName \
--network-access-policy AllowPrivate \
--disk-access $diskAccessId 

resourceGroupName=yourResourceGroupName
region=northcentralus
diskAccessName=yourDiskAccessName
sourceDiskName=yourSourceDiskForSnapshot
snapshotNameSecuredWithPL=yourSnapshotName

diskId=$(az disk show -n $sourceDiskName -g $resourceGroupName --query [id] -o tsv)

diskAccessId=$(az resource show -n $diskAccessName -g $resourceGroupName --namespace Microsoft.Compute --resource-type diskAccesses --query [id] -o tsv)

az snapshot create -n $snapshotNameSecuredWithPL \
-g $resourceGroupName \
-l $region \
--source $diskId \
--network-access-policy AllowPrivate \
--disk-access $diskAccessId

Következő lépések