Oktatóanyag: PaaS-erőforrásokhoz való hálózati hozzáférés korlátozása virtuális hálózati szolgáltatásvégpontokkal az Azure Portal használatával
Cikk
Virtuális hálózati szolgáltatásvégpontokkal egy adott virtuális hálózati alhálózatra korlátozható az egyes Azure-szolgáltatási erőforrásokhoz való hálózati hozzáférés. Emellett teljesen le is tiltható az internetes hozzáférés az erőforrásokhoz. A szolgáltatásvégpontok közvetlen csatlakozást biztosítanak a virtuális hálózat és a támogatott Azure-szolgáltatások között, így lehetővé teszik a virtuális hálózat magáncímterének használatát az Azure-szolgáltatások eléréséhez. A szolgáltatásvégpontokon keresztül az Azure-erőforrások felé irányuló forgalom mindig a Microsoft Azure gerinchálózatán marad.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
Virtuális hálózat létrehozása egyetlen alhálózattal
Alhálózat hozzáadása és szolgáltatásvégpont engedélyezése
Azure-erőforrás létrehozása és hálózati hozzáférés engedélyezése az erőforráshoz egyetlen alhálózatról
Virtuális gép (VM) üzembe helyezése az egyes alhálózatokon
Erőforráshoz való alhálózati hozzáférés ellenőrzése
Erőforráshoz való alhálózati és internetes hozzáférés letiltásának ellenőrzése
Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
Lehetőség
Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.
A kód vagy parancs futtatásához válassza az Enter lehetőséget .
Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez a cikkhez az Azure PowerShell-modul 1.0.0-s vagy újabb verziójára van szükség. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount kell.
Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.
Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.
Virtuális hálózat és Azure Bastion-gazdagép létrehozása
Az alábbi eljárás létrehoz egy virtuális hálózatot egy erőforrás-alhálózattal, egy Azure Bastion-alhálózattal és egy Bastion-gazdagéppel:
A portálon keresse meg és válassza ki a virtuális hálózatokat.
A Virtuális hálózatok lapon válassza a + Létrehozás lehetőséget.
A Virtuális hálózat létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás
Érték
Projekt részletei
Előfizetés
Válassza ki előfizetését.
Erőforráscsoport
Válassza az Új létrehozása lehetőséget. Adja meg a test-rg nevet. Válassza az OK gombot.
Példány részletei
Név
Adja meg a vnet-1 értéket.
Régió
Válassza az USA 2. keleti régiója lehetőséget.
A Tovább gombra kattintva lépjen a Biztonság lapra.
Az Azure Bastion szakaszban válassza az Azure Bastion engedélyezése lehetőséget.
A Bastion a böngészővel csatlakozik a virtuális hálózat virtuális gépeihez a Secure Shell (SSH) vagy a Távoli asztali protokoll (RDP) használatával a privát IP-címek használatával. A virtuális gépeknek nincs szükségük nyilvános IP-címekre, ügyfélszoftverekre vagy speciális konfigurációra. További információ: Mi az Azure Bastion?
Feljegyzés
Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.
Az Azure Bastionban adja meg vagy válassza ki a következő információkat:
Beállítás
Érték
Azure Bastion gazdagép neve
Adja meg a bástyát.
Nyilvános Azure Bastion IP-cím
Válassza a Nyilvános IP-cím létrehozása lehetőséget. Adja meg a nyilvános ip-bastion nevet. Válassza az OK gombot.
A Tovább gombra kattintva lépjen az IP-címek lapra.
Az Alhálózatok címtartományában válassza ki az alapértelmezett alhálózatot.
Az Alhálózat szerkesztése területen adja meg vagy válassza ki a következő adatokat:
Beállítás
Érték
Alhálózat célja
Hagyja meg az alapértelmezett értéket.
Név
Adja meg az 1. alhálózatot.
IPv4
IPv4-címtartomány
Hagyja meg a 10.0.0.0/16 alapértelmezett értéket.
Kezdőcím
Hagyja meg a 10.0.0.0 alapértelmezett értékét.
Méret
Hagyja meg a /24 (256 cím) alapértelmezett értékét.
Válassza a Mentés lehetőséget.
Válassza a Véleményezés + létrehozás lehetőséget az ablak alján. Amikor az ellenőrzés sikeres, válassza a Létrehozás lehetőséget.
A szolgáltatásvégpontok szolgáltatásonként és alhálózatonként engedélyezhetők.
A portáloldal tetején található keresőmezőben keressen rá a virtuális hálózatra. Válassza ki a virtuális hálózatokat a keresési eredmények között.
A virtuális hálózatokban válassza a vnet-1 lehetőséget.
A vnet-1 Beállítások szakaszában válassza az Alhálózatok lehetőséget.
Válassza a + Alhálózat lehetőséget.
Az Alhálózat hozzáadása lapon adja meg vagy válassza ki a következő adatokat:
Beállítás
Érték
Név
alhálózat-privát
Alhálózati címtartomány
Hagyja meg a 10.0.2.0/24 alapértelmezett értéket.
SZOLGÁLTATÁSVÉGPONTOK
Szolgáltatások
A Microsoft.Storage kiválasztása
Válassza a Mentés lehetőséget.
Figyelemfelhívás
Mielőtt engedélyezne egy szolgáltatásvégpontot egy erőforrásokkal rendelkező meglévő alhálózaton, tekintse meg az alhálózat beállításainak módosítását ismertető szakaszt.
Virtuális hálózat létrehozása
A virtuális hálózat létrehozása előtt létre kell hoznia egy erőforráscsoportot a virtuális hálózathoz, valamint a cikkben létrehozott összes többi erőforrást. Hozzon létre egy erőforráscsoportot a New-AzResourceGroup használatával. Az alábbi példa létrehoz egy test-rg nevű erőforráscsoportot:
Hozzon létre egy virtuális hálózatot a New-AzVirtualNetwork használatával. Az alábbi példa egy vnet-1 nevű virtuális hálózatot hoz létre a 10.0.0.0/16 címelőtaggal.
Alhálózat-konfiguráció létrehozása a New-AzVirtualNetworkSubnetConfig használatával. Az alábbi példa egy alhálózat-konfigurációt hoz létre egy alhálózat-nyilvános nevű alhálózathoz:
Hozza létre az alhálózatot a virtuális hálózaton az alhálózat konfigurációjának a Set-AzVirtualNetwork használatával történő írásával:
$virtualNetwork | Set-AzVirtualNetwork
Hozzon létre egy másik alhálózatot a virtuális hálózaton. Ebben a példában egy privát alhálózat jön létre a Microsoft.Storage szolgáltatásvégpontjával:
Az Azure Bastion a böngésző használatával csatlakozik a virtuális hálózat virtuális gépeihez a Secure Shell (SSH) vagy a Távoli asztali protokoll (RDP) használatával a privát IP-címek használatával. A virtuális gépeknek nincs szükségük nyilvános IP-címekre, ügyfélszoftverekre vagy speciális konfigurációra. További információ a Bastionról: Mi az az Azure Bastion?.
Az óránkénti díjszabás a Bastion üzembe helyezésének pillanatától kezdődik, a kimenő adathasználattól függetlenül. További információ: Díjszabás és termékváltozatok. Ha a Bastiont egy oktatóanyag vagy teszt részeként helyezi üzembe, javasoljuk, hogy a használat befejezése után törölje ezt az erőforrást.
Konfiguráljon egy Bastion-alhálózatot a virtuális hálózathoz. Ez az alhálózat kizárólag Bastion-erőforrások számára van fenntartva, és AzureBastionSubnetnek kell lennie.
Hozzon létre egy nyilvános IP-címet a Bastion számára. A Bastion-gazdagép a nyilvános IP-cím használatával éri el az SSH-t és az RDP-t a 443-as porton keresztül.
A Bastion-erőforrások üzembe helyezése körülbelül 10 percet vesz igénybe. A következő szakaszban virtuális gépeket hozhat létre, miközben a Bastion üzembe helyezi a virtuális hálózatát.
Virtuális hálózat létrehozása
A virtuális hálózat létrehozása előtt létre kell hoznia egy erőforráscsoportot a virtuális hálózathoz, valamint a cikkben létrehozott összes többi erőforrást. Hozzon létre egy erőforráscsoportot az az group create paranccsal. Az alábbi példa létrehoz egy test-rg nevű erőforráscsoportot a westus2 helyen.
az group create \
--name test-rg \
--location westus2
Hozzon létre egy virtuális hálózatot egy alhálózattal az az network vnet create használatával.
A szolgáltatásvégpontok csak a szolgáltatásvégpontokat támogató szolgáltatások esetében engedélyezhetők. Az Azure-ban elérhető szolgáltatásvégpont-kompatibilis szolgáltatások megtekintése az az network vnet list-endpoint-services szolgáltatásokkal. Az alábbi példa a westus2 régióban elérhető szolgáltatásvégpont-kompatibilis szolgáltatások listáját adja vissza. A visszaadott szolgáltatások listája idővel nőni fog, mivel több Azure-szolgáltatás válik engedélyezve a szolgáltatásvégponttá.
az network vnet list-endpoint-services \
--location westus2 \
--out table
Hozzon létre egy másik alhálózatot a virtuális hálózatban az az network vnet subnet create használatával. Ebben a példában egy szolgáltatásvégpont Microsoft.Storage jön létre az alhálózathoz:
Alapértelmezés szerint az alhálózat összes virtuálisgép-példánya bármilyen erőforrással kommunikálhat. Az alhálózaton belüli összes erőforrás kimenő és bejövő forgalmát egy hálózati biztonsági csoport létrehozásával, és annak az alhálózathoz való társításával korlátozhatja.
A portállap tetején található keresőmezőben keresse meg a Hálózati biztonsági csoportot. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.
A hálózati biztonsági csoportokban válassza a + Létrehozás lehetőséget.
A Hálózati biztonsági csoport létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás
Érték
Projekt részletei
Előfizetés
Válassza ki előfizetését.
Erőforráscsoport
Válassza a test-rg lehetőséget.
Példány részletei
Név
Adja meg az nsg-storage értéket.
Régió
Válassza az USA 2. keleti régiója lehetőséget.
Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.
Hozzon létre egy hálózati biztonsági csoportot a New-AzNetworkSecurityGroup használatával. Az alábbi példa egy nsg-private nevű hálózati biztonsági csoportot hoz létre.
Hozzon létre egy hálózati biztonsági csoportot az network nsg create használatával. Az alábbi példa egy nsg-private nevű hálózati biztonsági csoportot hoz létre.
az network nsg create \
--resource-group test-rg \
--name nsg-private
Kimenő hálózati biztonsági csoport (NSG) szabályainak létrehozása
A portállap tetején található keresőmezőben keresse meg a Hálózati biztonsági csoportot. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.
Válassza az nsg-storage lehetőséget.
Válassza a Kimenő biztonsági szabályok lehetőséget a Beállítások területen.
Válassza a + Hozzáadás lehetőséget.
Hozzon létre egy szabályt, amely engedélyezi a kimenő kommunikációt az Azure Storage szolgáltatás felé. Adja meg vagy válassza ki a következő adatokat a Kimenő biztonsági szabály hozzáadása mezőben:
Beállítás
Érték
Forrás
Válassza a Szolgáltatáscímke lehetőséget.
Forrás szolgáltatáscímke
Válassza a VirtualNetwork lehetőséget.
Forrásporttartományok
Hagyja meg az alapértelmezett értéket *.
Cél
Válassza a Szolgáltatáscímke lehetőséget.
Cél szolgáltatáscímkéje
Válassza a Storage lehetőséget.
Szolgáltatás
Hagyja meg az Egyéni alapértelmezett értéket.
Célporttartományok
Adja meg a 445-öt.
Protokoll
Válassza az Egyik lehetőséget.
Művelet
Válassza ki az Engedélyezés lehetőséget.
Prioritás
Hagyja meg a 100 alapértelmezett értéket.
Név
Adja meg az allow-storage-all értéket.
Válassza a + Hozzáadás lehetőséget.
Hozzon létre még egy kimenő biztonsági szabályt, amely letiltja az internetes kommunikációt. Ez a szabály felülírja az összes hálózati biztonsági csoportra érvényes alapértelmezett szabályt, amely engedélyezi a kimenő internetes kommunikációt. Hajtsa végre az előző lépéseket a kimenő biztonsági szabály hozzáadása szabály következő értékeivel:
Beállítás
Érték
Forrás
Válassza a Szolgáltatáscímke lehetőséget.
Forrás szolgáltatáscímke
Válassza a VirtualNetwork lehetőséget.
Forrásporttartományok
Hagyja meg az alapértelmezett értéket *.
Cél
Válassza a Szolgáltatáscímke lehetőséget.
Cél szolgáltatáscímkéje
Válassza az Internet lehetőséget.
Szolgáltatás
Hagyja meg az Egyéni alapértelmezett értéket.
Célporttartományok
Írja be *.
Protokoll
Válassza az Egyik lehetőséget.
Művelet
Válassza a Megtagadás lehetőséget.
Prioritás
Hagyja meg az alapértelmezett 110-et.
Név
Adja meg a deny-internet-all értéket.
Válassza a Hozzáadás lehetőséget.
A portállap tetején található keresőmezőben keresse meg a Hálózati biztonsági csoportot. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.
Válassza az nsg-storage lehetőséget.
Válassza az Alhálózatok lehetőséget a Beállítások területen.
Válassza a +Társítás lehetőséget.
A Társ alhálózatban válassza a virtuális hálózat 1-et. Válassza ki a privát alhálózatot az Alhálózatban.
Kattintson az OK gombra.
Hozzon létre hálózati biztonsági csoport biztonsági szabályokat a New-AzNetworkSecurityRuleConfig használatával. Az alábbi szabály engedélyezi a kimenő hozzáférést az Azure Storage szolgáltatáshoz hozzárendelt nyilvános IP-címekhez:
Az alábbi szabály letiltja az összes nyilvános IP-címhez való hozzáférést. Az előző szabály felülírja ezt a szabályt a magasabb prioritás miatt, amely lehetővé teszi az Azure Storage nyilvános IP-címeinek elérését.
A Get-AzNetworkSecurityGroup használatával kérje le a hálózati biztonsági csoport objektumát egy változóba. A Set-AzNetworkSecurityRuleConfig használatával adja hozzá a szabályokat a hálózati biztonsági csoporthoz.
# Retrieve the existing network security group
$nsgpriv = @{
ResourceGroupName = 'test-rg'
Name = 'nsg-private'
}
$nsg = Get-AzNetworkSecurityGroup @nsgpriv
# Add the new rules to the security group
$nsg.SecurityRules += $rule1
$nsg.SecurityRules += $rule2
# Update the network security group with the new rules
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
Társítsa a hálózati biztonsági csoportot a set-AzVirtualNetworkSubnetConfig alhálózathoz, majd írja be az alhálózat konfigurációját a virtuális hálózatba. Az alábbi példa az nsg-private hálózati biztonsági csoportot társítja az alhálózat-privát alhálózathoz:
Hozzon létre biztonsági szabályokat az az network nsg rule create használatával. Az alábbi szabály engedélyezi a kimenő hozzáférést az Azure Storage szolgáltatáshoz hozzárendelt nyilvános IP-címekhez:
Minden hálózati biztonsági csoport több alapértelmezett biztonsági szabályt tartalmaz. Az alábbi szabály felülbírálja az alapértelmezett biztonsági szabályt, amely lehetővé teszi az összes nyilvános IP-cím kimenő elérését. A destination-address-prefix "Internet" beállítás letiltja az összes nyilvános IP-cím kimenő elérését. Az előző szabály felülírja ezt a szabályt a magasabb prioritás miatt, amely lehetővé teszi az Azure Storage nyilvános IP-címeinek elérését.
Az alábbi szabály bárhonnan engedélyezi az alhálózatra bejövő SSH-forgalmat. Ez a szabály felülbírálja azon alapértelmezett biztonsági szabályokat, amelyek elutasítanak minden bejövő forgalmat az internetről. Az SSH engedélyezve van az alhálózaton, hogy a kapcsolat egy későbbi lépésben tesztelhető legyen.
Társítsa a hálózati biztonsági csoportot az alhálózat-privát alhálózathoz az az network vnet alhálózat frissítésével. Az alábbi példa az nsg-private hálózati biztonsági csoportot társítja az alhálózat-privát alhálózathoz:
Az Azure-szolgáltatásokon keresztül létrehozott erőforrásokhoz való hálózati hozzáférés korlátozásához szükséges lépések szolgáltatásvégpontok esetén különbözőek. Az egyes szolgáltatásokhoz szükséges lépéseket az adott szolgáltatások dokumentációja tartalmazza. Az oktatóanyag további része például az Azure Storage-fiókok hálózati hozzáférésének korlátozására vonatkozó lépéseket tartalmazza.
Tárfiók létrehozása
Hozzon létre egy Azure Storage-fiókot a cikk lépéseihez. Ha már van tárfiókja, használhatja helyette.
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
Válassza a +Létrehozás lehetőséget.
A Tárfiók létrehozása alapismeretek lapján adja meg vagy válassza ki a következő adatokat:
Beállítás
Érték
Projekt részletei
Előfizetés
Válassza ki az Azure-előfizetését.
Erőforráscsoport
Válassza a test-rg lehetőséget.
Példány részletei
Tárfiók neve
Adja meg a storage1 értéket. Ha a név nem érhető el, adjon meg egy egyedi nevet.
Hely
Válassza az USA 2. keleti régióját.
Teljesítmény
Hagyja meg az alapértelmezett Standard értéket.
Redundancia
Válassza a helyileg redundáns tárolás (LRS) lehetőséget.
Válassza a Véleményezés lehetőséget.
Válassza a Létrehozás lehetőséget.
Hozzon létre egy Azure Storage-fiókot a New-AzStorageAccount használatával. Cserélje le <replace-with-your-unique-storage-account-name> az összes Azure-helyen egyedi, 3–24 karakter hosszúságú névre, csak számok és kisbetűk használatával.
Ebben az oktatóanyagban a kapcsolati sztring a tárfiókhoz való csatlakozásra szolgál. A Microsoft azt javasolja, hogy a legbiztonságosabb hitelesítési folyamatot használja. Az ebben az eljárásban ismertetett hitelesítési folyamat nagy fokú bizalmat igényel az alkalmazásban, és olyan kockázatokat hordoz, amelyek más folyamatokban nem jelennek meg. Ezt a folyamatot csak akkor érdemes használni, ha más biztonságosabb folyamatok, például a felügyelt identitások nem életképesek.
A kulcs használatával egy későbbi lépésben hozhat létre fájlmegosztást. Adja meg $storageAcctKey és jegyezze fel az értéket. Egy későbbi lépésben manuálisan adja meg, amikor a fájlmegosztást egy virtuális gép meghajtójának megfelelteti.
A szolgáltatásvégpontok használatára képes Azure-szolgáltatásokkal létrehozott erőforrásokhoz való hálózati hozzáférés korlátozásának lépései szolgáltatásonként eltérőek. Az egyes szolgáltatásokhoz szükséges lépéseket az adott szolgáltatások dokumentációja tartalmazza. A cikk további része például az Azure Storage-fiókok hálózati hozzáférésének korlátozására vonatkozó lépéseket tartalmazza.
Tárfiók létrehozása
Hozzon létre egy Azure Storage-fiókot az az storage account create használatával. Cserélje le <replace-with-your-unique-storage-account-name> az összes Azure-helyen egyedi, 3–24 karakter hosszúságú névre, csak számok és kisbetűk használatával.
A tárfiók létrehozása után kérje le a tárfiók kapcsolati sztring egy változóba az az storage account show-connection-string használatával. A kapcsolati sztring egy későbbi lépésben hoz létre fájlmegosztást.
Ebben az oktatóanyagban a kapcsolati sztring a tárfiókhoz való csatlakozásra szolgál. A Microsoft azt javasolja, hogy a legbiztonságosabb hitelesítési folyamatot használja. Az ebben az eljárásban ismertetett hitelesítési folyamat nagy fokú bizalmat igényel az alkalmazásban, és olyan kockázatokat hordoz, amelyek más folyamatokban nem jelennek meg. Ezt a folyamatot csak akkor érdemes használni, ha más biztonságosabb folyamatok, például a felügyelt identitások nem életképesek.
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
A Tárfiókokban válassza ki az előző lépésben létrehozott tárfiókot.
Az Adattárban válassza a Fájlmegosztások lehetőséget.
Válassza a + Fájlmegosztás lehetőséget.
Adja meg vagy válassza ki a következő adatokat az Új fájlmegosztásban:
Beállítás
Érték
Név
Adja meg a fájlmegosztást.
Szint
Hagyja az alapértelmezett tranzakciót optimalizálva.
Válassza a Következő: Biztonsági mentés lehetőséget.
Törölje a biztonsági mentés engedélyezésének jelölését.
Válassza a Felülvizsgálat + létrehozás, majd a Létrehozás lehetőséget.
Hozzon létre egy környezetet a tárfiókhoz és a kulcshoz a New-AzStorageContext használatával. A környezet a tárfiók nevét és a fiókkulcsot foglalja magában:
Hozzon létre egy fájlmegosztást a tárfiókban az az storage share create használatával. Egy későbbi lépésben ez a fájlmegosztás csatlakoztatva van a hálózathoz való hozzáférés megerősítéséhez.
Alapértelmezés szerint a tárfiókok bármilyen hálózatban található ügyféltől érkező hálózati kapcsolatot elfogadnak, beleértve az internetet is. Korlátozhatja a hálózati hozzáférést az internetről, és az összes többi alhálózatot az összes virtuális hálózatból (kivéve a vnet-1 virtuális hálózat alhálózatát).)
Az alhálózathoz való hálózati hozzáférés korlátozása:
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
Válassza ki a tárfiókot.
A Biztonság + hálózatkezelés területen válassza a Hálózatkezelés lehetőséget.
A Tűzfalak és virtuális hálózatok lapon válassza az Engedélyezve lehetőséget a kijelölt virtuális hálózatok és a nyilvános hálózati hozzáférés IP-címei közül.
A virtuális hálózatokban válassza a + Meglévő virtuális hálózat hozzáadása lehetőséget.
A Hálózatok hozzáadása lapon adja meg vagy válassza ki a következő információkat:
Beállítás
Érték
Előfizetés
Válassza ki előfizetését.
Virtuális hálózatok
Válassza a vnet-1 lehetőséget.
Alhálózatok
Válassza ki a privát alhálózatot.
Válassza a Hozzáadás lehetőséget.
A virtuális hálózati konfigurációk mentéséhez válassza a Mentés lehetőséget.
Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező hálózati kapcsolatokat elfogadnak. A kijelölt hálózatokhoz való hozzáférés korlátozásához módosítsa az alapértelmezett műveletet a Megtagadás értékre az Update-AzStorageAccountNetworkRuleSet használatával. A hálózati hozzáférés megtagadása után a tárfiók nem érhető el egyetlen hálózatról sem.
Kérje le a létrehozott virtuális hálózatot a Get-AzVirtualNetwork szolgáltatással, majd kérje le a privát alhálózati objektumot egy változóba a Get-AzVirtualNetworkSubnetConfig használatával:
Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező hálózati kapcsolatokat elfogadnak. A kijelölt hálózatokhoz való hozzáférés korlátozásához módosítsa az alapértelmezett műveletet a Megtagadás értékre az az storage-fiók frissítésével. A hálózati hozzáférés megtagadása után a tárfiók nem érhető el egyetlen hálózatról sem.
A tárfiókhoz való hálózati hozzáférés teszteléséhez helyezzen üzembe egy virtuális gépet az egyes alhálózatokon.
Teszt virtuális gép létrehozása
Az alábbi eljárás létrehoz egy vm-1 nevű teszt virtuális gépet (VM) a virtuális hálózaton.
A portálon keresse meg és válassza ki a virtuális gépeket.
A virtuális gépeken válassza a + Létrehozás, majd az Azure virtuális gép lehetőséget.
A Virtuális gép létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:
Beállítás
Érték
Projekt részletei
Előfizetés
Válassza ki előfizetését.
Erőforráscsoport
Válassza a test-rg lehetőséget.
Példány részletei
Virtuális gép neve
Adja meg a vm-1 értéket.
Régió
Válassza az USA 2. keleti régiója lehetőséget.
Rendelkezésre állási beállítások
Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
Biztonsági típus
Hagyja meg a Standard alapértelmezett értékét.
Kép
Válassza a Windows Server 2022 Datacenter – x64 Gen2 lehetőséget.
Virtuálisgép-architektúra
Hagyja meg az x64 alapértelmezett értékét.
Méret
Válasszon ki egy méretet.
Rendszergazdai fiók
Hitelesítés típusa
Válassza a Jelszó lehetőséget.
Felhasználónév
Adja meg az azureusert.
Jelszó
Adjon meg egy jelszót.
Jelszó megerősítése
A jelszó újraküldése.
Bejövő portszabályok
Nyilvános bejövő portok
Válassza a Nincs lehetőséget.
Válassza a lap tetején található Hálózatkezelés lapot.
Adja meg vagy válassza ki a következő adatokat a Hálózat lapon :
Beállítás
Érték
Hálózati adapter
Virtuális hálózat
Válassza a vnet-1 lehetőséget.
Alhálózat
Válassza az 1. alhálózatot (10.0.0.0/24).
Nyilvános IP-cím
Válassza a Nincs lehetőséget.
Hálózati hálózati biztonsági csoport
Válassza a Speciális lehetőséget.
Hálózati biztonsági csoport konfigurálása
Válassza az Új létrehozása lehetőséget. Adja meg az nsg-1 nevet. Hagyja a többit az alapértelmezett értéken, és válassza az OK gombot.
Hagyja meg a többi beállítást az alapértelmezett értéken, és válassza a Véleményezés + létrehozás lehetőséget.
Tekintse át a beállításokat, és válassza a Létrehozás lehetőséget.
Feljegyzés
A megerősített gazdagéppel rendelkező virtuális hálózatok virtuális gépeinek nincs szükségük nyilvános IP-címekre. A Bastion biztosítja a nyilvános IP-címet, a virtuális gépek pedig privát IP-címeket használnak a hálózaton belüli kommunikációhoz. A nyilvános IP-címeket a megerősített virtuális hálózatokban lévő virtuális gépekről is eltávolíthatja. További információ: Nyilvános IP-cím társítása azure-beli virtuális gépről.
Feljegyzés
Az Azure alapértelmezett kimenő hozzáférési IP-címet biztosít azokhoz a virtuális gépekhez, amelyek vagy nincsenek hozzárendelve nyilvános IP-címhez, vagy egy belső alapszintű Azure-terheléselosztó háttérkészletében találhatók. Az alapértelmezett kimenő hozzáférési IP-mechanizmus olyan kimenő IP-címet biztosít, amely nem konfigurálható.
Az alapértelmezett kimenő hozzáférési IP-cím le van tiltva az alábbi események egyike esetén:
A virtuális géphez nyilvános IP-cím van hozzárendelve.
A virtuális gép egy standard terheléselosztó háttérkészletébe kerül kimenő szabályokkal vagy anélkül.
A virtuálisgép-méretezési csoportok rugalmas vezénylési módban történő használatával létrehozott virtuális gépek nem rendelkeznek alapértelmezett kimenő hozzáféréssel.
Az Azure-beli kimenő kapcsolatokról további információt az Alapértelmezett kimenő hozzáférés az Azure-ban és a Kimenő kapcsolatok forráshálózati címfordításának (SNAT) használata című témakörben talál.
A második virtuális gép létrehozása
Hozzon létre egy második virtuális gépet, amely megismételi az előző szakaszban leírt lépéseket. Cserélje le a következő értékeket a virtuális gép létrehozásakor:
Beállítás
Érték
Virtuális gép neve
Adja meg a vm-private értéket.
Alhálózat
Válassza ki a privát alhálózatot.
Nyilvános IP-cím
Válassza a Nincs lehetőséget.
Hálózati hálózati biztonsági csoport
Válassza a Nincs lehetőséget.
Figyelmeztetés
Ne folytassa a következő lépéssel, amíg az üzembe helyezés be nem fejeződik.
Az első virtuális gép létrehozása
Hozzon létre egy virtuális gépet az alhálózat nyilvános alhálózatában a New-AzVM használatával. Az alábbi parancs futtatásakor a rendszer hitelesítő adatokat kér. Az itt megadott értékek határozzák meg a virtuális géphez tartozó felhasználónevet és jelszót.
A virtuális gép létrehozása néhány percet vesz igénybe az Azure-ban. Ne folytassa a következő lépésekkel, amíg az Azure be nem fejezi a virtuális gép létrehozását, és visszaadja a kimenetet a PowerShellnek.
Tárfiókhoz való hálózati hozzáférés teszteléséhez helyezzen üzembe egy virtuális gépet minden alhálózaton.
Az első virtuális gép létrehozása
Hozzon létre egy virtuális gépet az alhálózat nyilvános alhálózatában az az vm create használatával. Ha az SSH-kulcsok még nem léteznek alapértelmezett kulcshelyen, a parancs létrehozza őket. Ha konkrét kulcsokat szeretné használni, használja az --ssh-key-value beállítást.
A virtuális gép üzembe helyezése néhány percet vesz igénybe. A virtuális gép létrehozása után az Azure CLI az alábbi példához hasonló információkat jelenít meg:
A rendszer a korábban létrehozott, az alhálózat-privát alhálózathoz rendelt virtuális gépet használja a tárfiókhoz való hozzáférés megerősítésére. Az előző szakaszban létrehozott virtuális gép, amely az 1 . alhálózathoz van rendelve, annak megerősítésére szolgál, hogy a tárfiókhoz való hozzáférés le van tiltva.
Tárfiók hozzáférési kulcsának lekérése
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
A Tárfiókokban válassza ki a tárfiókot.
A Biztonság + hálózatkezelés területen válassza az Access-kulcsokat.
Másolja ki az 1. kulcs értékét. Előfordulhat, hogy a kulcs megjelenítéséhez a Megjelenítés gombra kell kattintania.
A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.
Válassza a vm-private lehetőséget.
Válassza a Bastion in Operations lehetőséget.
Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót. Válassza a Kapcsolódás lehetőséget.
Nyissa meg a Windows PowerShellt. Az alábbi szkripttel képezze le az Azure-fájlmegosztást a Z meghajtóra.
Cserélje le <storage-account-key> az előző lépésben másolt kulccsal.
Cserélje le a <storage-account-name> kifejezést a tárfiókja nevére. Ebben a példában ez a storage8675.
A PowerShell a következő példához hasonló kimenetet ad vissza:
Name Used (GB) Free (GB) Provider Root
---- --------- --------- -------- ----
Z FileSystem \\storage8675.file.core.windows.net\f...
Az Azure-fájlmegosztás sikeresen le lett képezve a Z meghajtóra.
Zárja be a Bastion-kapcsolatot a virtuális gép magánhálózatával.
A rendszer a korábban létrehozott, az alhálózat-privát alhálózathoz rendelt virtuális gépet használja a tárfiókhoz való hozzáférés megerősítésére. Az előző szakaszban létrehozott virtuális gép, amely az 1 . alhálózathoz van rendelve, annak megerősítésére szolgál, hogy a tárfiókhoz való hozzáférés le van tiltva.
A PowerShell a következő példához hasonló kimenetet ad vissza:
Name Used (GB) Free (GB) Provider Root
---- --------- --------- -------- ----
Z FileSystem \\storage8675.file.core.windows.net\f...
Az Azure-fájlmegosztás sikeresen le lett képezve a Z meghajtóra.
Győződjön meg arról, hogy a virtuális gép nem rendelkezik kimenő kapcsolattal más nyilvános IP-címekhez:
ping bing.com
Nem kap választ, mert a privát alhálózathoz társított hálózati biztonsági csoport nem engedélyezi a kimenő hozzáférést az Azure Storage szolgáltatáshoz rendelt címektől eltérő nyilvános IP-címekhez.
Zárja be a Bastion-kapcsolatot a virtuális gép magánhálózatával.
SSH a virtuális gép privát virtuális gépére.
Futtassa a következő parancsot a virtuális gép IP-címének környezeti változóként való tárolásához:
export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
Hozzon létre egy mappát egy csatlakoztatási ponthoz:
sudo mkdir /mnt/file-share
Csatlakoztassa az Azure-fájlmegosztást a létrehozott könyvtárhoz. A következő parancs futtatása előtt cserélje le <storage-account-name> a fiók nevére és <storage-account-key> a tárfiók létrehozásakor lekért kulcsra.
sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
Ekkor megjelenik a user@vm-private:~$ kérdés. Az Azure-fájlmegosztás sikeresen csatlakoztatva van az /mnt/file-share fájlmegosztáshoz.
Győződjön meg arról, hogy a virtuális gép nem rendelkezik kimenő kapcsolattal más nyilvános IP-címekhez:
ping bing.com -c 4
Nem kap választ, mert az alhálózat-privát alhálózathoz társított hálózati biztonsági csoport nem engedélyezi a kimenő hozzáférést az Azure Storage szolgáltatáshoz rendelt címektől eltérő nyilvános IP-címekhez.
Lépjen ki az SSH-munkamenetből a virtuális gép privát virtuális gépére.
Tárfiókhoz való hozzáférés letiltásának ellenőrzése
A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.
Válassza ki a vm-1 elemet.
Válassza a Bastion in Operations lehetőséget.
Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót. Válassza a Kapcsolódás lehetőséget.
Ismételje meg az előző parancsot a meghajtónak a tárfiók fájlmegosztásához való leképezéséhez. Előfordulhat, hogy ismét át kell másolnia a tárfiók hozzáférési kulcsát ehhez az eljáráshoz:
A portál tetején található keresőmezőbe írja be a Storage-fiókot. Válassza ki a Storage-fiókokat a keresési eredmények között.
A Tárfiókokban válassza ki a tárfiókot.
Az Adattárban válassza a Fájlmegosztások lehetőséget.
Válassza ki a fájlmegosztást.
Válassza a Tallózás lehetőséget a bal oldali menüben.
A következő hibaüzenetet kell kapnia:
Feljegyzés
A hozzáférés megtagadva, mert a számítógép nem a vnet-1 virtuális hálózat privát alhálózatában található.
VM-1-ből
A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.
Válassza ki a vm-1 elemet.
Válassza a Bastion in Operations lehetőséget.
Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót. Válassza a Kapcsolódás lehetőséget.
Ismételje meg az előző parancsot a meghajtónak a tárfiók fájlmegosztásához való leképezéséhez. Előfordulhat, hogy ismét át kell másolnia a tárfiók hozzáférési kulcsát ehhez az eljáráshoz:
Hozzáférés megtagadva. A következő példához hasonló kimenetet kap.
Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
A számítógép nem a vnet-1 virtuális hálózat privát alhálózatában található.
SSH a virtuális gép nyilvános virtuális gépére.
Futtassa a következő parancsot a virtuális gép IP-címének környezeti változóként való tárolásához:
export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
Hozzon létre egy könyvtárat egy csatlakoztatási ponthoz:
sudo mkdir /mnt/file-share
Próbálja meg csatlakoztatni az Azure-fájlmegosztást a létrehozott könyvtárhoz. Ez a cikk feltételezi, hogy az Ubuntu legújabb verzióját telepítette. Ha az Ubuntu korábbi verzióit használja, a fájlmegosztások csatlakoztatásával kapcsolatos további útmutatásért tekintse meg a Linuxon való csatlakoztatást ismertető cikket. A következő parancs futtatása előtt cserélje le <storage-account-name> a fiók nevére és <storage-account-key> a tárfiók létrehozásakor lekért kulcsra:
sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
A hozzáférés megtagadva, és hibaüzenet jelenik mount error(13): Permission denied meg, mert a virtuálisgép-nyilvános virtuális gép az alhálózat nyilvános alhálózatán belül van üzembe helyezve. Az alhálózat nyilvános alhálózata nem rendelkezik az Azure Storage szolgáltatásvégpontjaival, és a tárfiók csak az alhálózat-privát alhálózatról engedélyezi a hálózati hozzáférést, nem pedig az alhálózat nyilvános alhálózatáról.
Lépjen ki az SSH-munkamenetből a virtuális gép nyilvános virtuális gépére.
A számítógépen próbálja meg megtekinteni a tárfiókban lévő megosztásokat az az storage share listával. Cserélje le és írja be <account-name> a tárfiók nevét és kulcsát a tárfiók létrehozásakor:<account-key>
az storage share list \
--account-name <account-name> \
--account-key <account-key>
A hozzáférés megtagadva, és ez a kérés nem jogosult a művelet végrehajtására, mert a számítógép nem a vnet-1 virtuális hálózat privát alhálózatában található.
Ha több virtuális hálózat is van a fiókjában, érdemes lehet kapcsolatot létesíteni közöttük, hogy az erőforrások kommunikálhassanak egymással. Annak megismeréséhez, hogyan kapcsolhatók össze virtuális hálózatok, folytassa a következő oktatóanyaggal.