Szolgáltatásvégpont-szabályzatok létrehozása és társítása

A szolgáltatásvégpont-szabályzatok lehetővé teszik a virtuális hálózati forgalom szűrését adott Azure-erőforrásokra a szolgáltatásvégpontokon keresztül. Ha nem ismeri a szolgáltatásvégpont-szabályzatokat, további információért tekintse meg a szolgáltatásvégpont-szabályzatok áttekintését .

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Hozzon létre egy virtuális hálózatot.
• Adjon hozzá egy alhálózatot, és engedélyezze a szolgáltatásvégpontot az Azure Storage-hoz.
• Hozzon létre két Azure Storage-fiókot, és engedélyezze a hálózati hozzáférést a virtuális hálózat alhálózatáról.
• Hozzon létre egy szolgáltatásvégpont-szabályzatot, amely csak az egyik tárfiókhoz engedélyezi a hozzáférést.
• Virtuális gép (VM) üzembe helyezése az alhálózaton.
• Ellenőrizze, hogy az alhálózatról hozzáfér-e az engedélyezett tárfiókhoz.
• Ellenőrizze, hogy a hozzáférés megtagadva van-e a nem engedélyezett tárfiókhoz az alhálózatról.

Előfeltételek

Portál

• Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.

PowerShell

• Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség	Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.

Az Azure Cloud Shell használata:

1. Indítsa el a Cloud Shellt.

2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez a cikkhez az Azure PowerShell-modul 1.0.0-s vagy újabb verziójára van szükség. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount kell.

Parancssori felület

Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

• Ez a cikk az Azure CLI 2.0.28-es vagy újabb verzióját igényli. Az Azure Cloud Shell használata esetén a legújabb verzió már telepítve van.

Virtuális hálózat létrehozása és szolgáltatásvégpont engedélyezése

Hozzon létre egy virtuális hálózatot, amely tartalmazza az ebben az oktatóanyagban létrehozott erőforrásokat.

Portál

1. A portál keresőmezőjében adja meg a virtuális hálózatokat. Válassza ki a virtuális hálózatokat a keresési eredmények között.

2. Új virtuális hálózat létrehozásához válassza a + Létrehozás lehetőséget.

3. Adja meg vagy válassza ki a következő információkat a Virtuális hálózat létrehozása alapismeretek lapján.

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza az Új létrehozása lehetőséget. Adja meg a test-rg nevet. Válassza az OK gombot.
   Név	Adja meg a vnet-1 értéket.
   Régió	Válassza az USA 2. nyugati régióját.

4. Válassza a Tovább lehetőséget.

5. Válassza a Tovább lehetőséget.

6. Az IP-címek lap Alhálózatok területén válassza ki az alapértelmezett alhálózatot.

7. Adja meg vagy válassza ki a következő adatokat a Szerkesztés alhálózatban.

   Beállítás	Érték
   Név	Adja meg az 1. alhálózatot.
   Szolgáltatásvégpontok
   Szolgáltatások
   A lekéréses menüben válassza a Microsoft.Storage lehetőséget.

8. Válassza a Mentés lehetőséget.

9. Válassza a Felülvizsgálat és létrehozás lehetőséget.

10. Válassza a Létrehozás lehetőséget.

PowerShell

A virtuális hálózat létrehozása előtt létre kell hoznia egy erőforráscsoportot a virtuális hálózathoz, valamint a cikkben létrehozott összes többi erőforrást. Hozzon létre egy erőforráscsoportot a New-AzResourceGroup használatával. Az alábbi példa létrehoz egy test-rg nevű erőforráscsoportot:

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}
New-AzResourceGroup @rg

Hozzon létre egy virtuális hálózatot a New-AzVirtualNetwork használatával. Az alábbi példa egy vnet-1 nevű virtuális hálózatot hoz létre a 10.0.0.0/16 címelőtaggal.

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}
$virtualNetwork = New-AzVirtualNetwork @vnet

Hozzon létre egy alhálózat-konfigurációt a New-AzVirtualNetworkSubnetConfig használatával, majd írja be az alhálózat konfigurációját a virtuális hálózatba a Set-AzVirtualNetwork használatával. Az alábbi példa egy 1. alhálózat nevű alhálózatot ad hozzá a virtuális hálózathoz, és létrehozza a Szolgáltatásvégpontot a Microsoft.Storage számára.

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

Parancssori felület

A virtuális hálózat létrehozása előtt létre kell hoznia egy erőforráscsoportot a virtuális hálózathoz, valamint a cikkben létrehozott összes többi erőforrást. Hozzon létre egy erőforráscsoportot az az group create paranccsal. Az alábbi példa létrehoz egy test-rg nevű erőforráscsoportot a westus2 helyen.

az group create \
  --name test-rg \
  --location westus2

Hozzon létre egy virtuális hálózatot egy alhálózattal az az network vnet create használatával.

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefix 10.0.0.0/16 \
  --subnet-name subnet-1 \
  --subnet-prefix 10.0.0.0/24

Ebben a példában egy szolgáltatásvégpont Microsoft.Storage jön létre az 1. alhálózathoz:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24 \
  --service-endpoints Microsoft.Storage

Az alhálózat hálózati hozzáférésének korlátozása

Hozzon létre egy hálózati biztonsági csoportot és szabályokat, amelyek korlátozzák az alhálózat hálózati hozzáférését.

Hálózati biztonsági csoport létrehozása

Portál

1. A portál keresőmezőjében adja meg a hálózati biztonsági csoportokat. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.

2. Új hálózati biztonsági csoport létrehozásához válassza a +Létrehozás lehetőséget.

3. A Hálózati biztonsági csoport létrehozása alapismeretek lapján adja meg vagy válassza ki az alábbi információkat.

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Név	Adja meg az nsg-1 értéket.
   Régió	Válassza az USA 2. nyugati régióját.

4. Válassza a Felülvizsgálat és létrehozás lehetőséget.

5. Válassza a Létrehozás lehetőséget.

Hálózati biztonsági csoport szabályainak létrehozása

1. A portál keresőmezőjében adja meg a hálózati biztonsági csoportokat. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.

2. Válassza az nsg-1 lehetőséget.

3. Bontsa ki a Beállítások elemet. Válassza ki a kimenő biztonsági szabályokat.

4. Új kimenő biztonsági szabály hozzáadásához válassza a + Hozzáadás lehetőséget.

5. A Kimenő biztonsági szabály hozzáadása területen adja meg vagy válassza ki a következő adatokat.

   Beállítás	Érték
   Forrás	Válassza a Szolgáltatáscímke lehetőséget.
   Forrás szolgáltatáscímke	Válassza a VirtualNetwork lehetőséget.
   Forrásporttartományok	Írja be *.
   Cél	Válassza a Szolgáltatáscímke lehetőséget.
   Cél szolgáltatáscímkéje	Válassza a Storage lehetőséget.
   Szolgáltatás	Válassza az Egyéni lehetőséget.
   Célporttartományok	Írja be *.
   Protokoll	Válassza az Egyik lehetőséget.
   Művelet	Válassza ki az Engedélyezés lehetőséget.
   Prioritás	Adja meg a 100 értéket.
   Név	Adja meg az allow-storage-all értéket.

6. Válassza a Hozzáadás lehetőséget.

7. Válassza a + Hozzáadás lehetőséget egy másik kimenő biztonsági szabály hozzáadásához.

8. A Kimenő biztonsági szabály hozzáadása területen adja meg vagy válassza ki a következő adatokat.

   Beállítás	Érték
   Forrás	Válassza a Szolgáltatáscímke lehetőséget.
   Forrás szolgáltatáscímke	Válassza a VirtualNetwork lehetőséget.
   Forrásporttartományok	Írja be *.
   Cél	Válassza a Szolgáltatáscímke lehetőséget.
   Cél szolgáltatáscímkéje	Válassza az Internet lehetőséget.
   Szolgáltatás	Válassza az Egyéni lehetőséget.
   Célporttartományok	Írja be *.
   Protokoll	Válassza az Egyik lehetőséget.
   Művelet	Válassza a Megtagadás lehetőséget.
   Prioritás	Adja meg a 110-et.
   Név	Adja meg a deny-internet-all értéket.

9. Válassza a Hozzáadás lehetőséget.

10. Bontsa ki a Beállítások elemet. Válassza az Alhálózatok lehetőséget.

11. Válassza a Társítás lehetőséget.

12. A Társítás alhálózatban adja meg vagy válassza ki a következő adatokat.

    Beállítás	Érték
    Virtuális hálózat	Válassza ki a vnet-1 (test-rg) elemet.
    Alhálózat	Válassza az 1. alhálózatot.

13. Kattintson az OK gombra.

PowerShell

Hozzon létre hálózati biztonsági csoport biztonsági szabályokat a New-AzNetworkSecurityRuleConfig használatával. Az alábbi szabály engedélyezi a kimenő hozzáférést az Azure Storage szolgáltatáshoz hozzárendelt nyilvános IP-címekhez:

$r1 = @{
    Name = "Allow-Storage-All"
    Access = "Allow"
    DestinationAddressPrefix = "Storage"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 100
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule1 = New-AzNetworkSecurityRuleConfig @r1

Az alábbi szabály letiltja az összes nyilvános IP-címhez való hozzáférést. Az előző szabály felülírja ezt a szabályt a magasabb prioritás miatt, amely lehetővé teszi az Azure Storage nyilvános IP-címeinek elérését.

$r2 = @{
    Name = "Deny-Internet-All"
    Access = "Deny"
    DestinationAddressPrefix = "Internet"
    DestinationPortRange = "*"
    Direction = "Outbound"
    Priority = 110
    Protocol = "*"
    SourceAddressPrefix = "VirtualNetwork"
    SourcePortRange = "*"
}
$rule2 = New-AzNetworkSecurityRuleConfig @r2

Hozzon létre egy hálózati biztonsági csoportot a New-AzNetworkSecurityGroup használatával. Az alábbi példa egy nsg-1 nevű hálózati biztonsági csoportot hoz létre.

$securityRules = @($rule1, $rule2)

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
    SecurityRules = $securityRules
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Társítsa a hálózati biztonsági csoportot az 1. alhálózathoz a Set-AzVirtualNetworkSubnetConfig szolgáltatással, majd írja be az alhálózat konfigurációját a virtuális hálózatba. Az alábbi példa az nsg-1 hálózati biztonsági csoportot társítja az 1 . alhálózathoz:

$subnetConfig = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    ServiceEndpoint = "Microsoft.Storage"
    NetworkSecurityGroup = $nsg
}
Set-AzVirtualNetworkSubnetConfig @subnetConfig

$virtualNetwork | Set-AzVirtualNetwork

Parancssori felület

Hozzon létre egy hálózati biztonsági csoportot az network nsg create használatával. Az alábbi példa egy nsg-1 nevű hálózati biztonsági csoportot hoz létre.

az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Társítsa a hálózati biztonsági csoportot az 1. alhálózathoz az az network vnet subnet update szolgáltatással. Az alábbi példa az nsg-1 hálózati biztonsági csoportot társítja az 1 . alhálózathoz:

az network vnet subnet update \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --resource-group test-rg \
  --network-security-group nsg-1

Hozzon létre biztonsági szabályokat az az network nsg rule create használatával. Az alábbi szabály engedélyezi a kimenő hozzáférést az Azure Storage szolgáltatáshoz rendelt nyilvános IP-címekhez:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Storage-All \
  --access Allow \
  --protocol "*" \
  --direction Outbound \
  --priority 100 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Storage" \
  --destination-port-range "*"

Minden hálózati biztonsági csoport több alapértelmezett biztonsági szabályt tartalmaz. Az alábbi szabály felülbírálja az alapértelmezett biztonsági szabályt, amely lehetővé teszi az összes nyilvános IP-cím kimenő elérését. A destination-address-prefix "Internet" beállítás letiltja az összes nyilvános IP-cím kimenő elérését. Az előző szabály felülírja ezt a szabályt a magasabb prioritás miatt, amely lehetővé teszi az Azure Storage nyilvános IP-címeinek elérését.

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Deny-Internet-All \
  --access Deny \
  --protocol "*" \
  --direction Outbound \
  --priority 110 \
  --source-address-prefix "VirtualNetwork" \
  --source-port-range "*" \
  --destination-address-prefix "Internet" \
  --destination-port-range "*"

Az Azure Storage-fiókokhoz való hálózati hozzáférés korlátozása

A szolgáltatásvégpontok használatára képes Azure-szolgáltatásokkal létrehozott erőforrásokhoz való hálózati hozzáférés korlátozásának lépései szolgáltatásonként eltérőek. Az egyes szolgáltatásokhoz szükséges lépéseket az adott szolgáltatások dokumentációja tartalmazza. A cikk további része például az Azure Storage-fiókok hálózati hozzáférésének korlátozására vonatkozó lépéseket tartalmazza.

Két tárfiók létrehozása

Portál

1. A portál keresőmezőjében adja meg a Storage-fiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

2. Új tárfiók létrehozásához válassza a + Létrehozás lehetőséget.

3. Tárfiók létrehozásakor adja meg vagy válassza ki a következő adatokat.

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Tárfiók neve	Adja meg a allowedaccount(random-number) értéket. Megjegyzés: A tárfiók nevének egyedinek kell lennie. Adjon hozzá egy véletlenszerű számot a név allowedaccountvégéhez.
   Régió	Válassza az USA 2. nyugati régióját.
   Teljesítmény	Válassza a Standard lehetőséget.
   Redundancia	Válassza a helyileg redundáns tárolás (LRS) lehetőséget.

4. Válassza a Tovább gombot, amíg el nem éri az Adatvédelem lapot.

5. A Recoveryben törölje az összes beállítás kijelölését.

6. Válassza a Felülvizsgálat és létrehozás lehetőséget.

7. Válassza a Létrehozás lehetőséget.

8. Ismételje meg az előző lépéseket egy másik tárfiók létrehozásához az alábbi információkkal.

   Beállítás	Érték
   Tárfiók neve	Adja meg a deniedaccount(random-number) értéket.

PowerShell

Hozza létre az engedélyezett Azure Storage-fiókot a New-AzStorageAccount használatával.

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'allowedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Ugyanezzel a paranccsal hozza létre a megtagadott Azure Storage-fiókot, de módosítsa a nevet a következőre deniedaccount: .

$storageAcctParams = @{
    Location = 'westus2'
    Name = 'deniedaccount'
    ResourceGroupName = 'test-rg'
    SkuName = 'Standard_LRS'
    Kind = 'StorageV2'
}
New-AzStorageAccount @storageAcctParams

Parancssori felület

Hozzon létre két Azure-tárfiókot az az storage account create használatával.

storageAcctName1="allowedaccount"

az storage account create \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Ugyanezzel a paranccsal hozza létre a megtagadott Azure Storage-fiókot, de módosítsa a nevet a következőre deniedaccount: .

storageAcctName2="deniedaccount"

az storage account create \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --sku Standard_LRS \
  --kind StorageV2

Fájlmegosztások létrehozása

Portál

1. A portál keresőmezőjében adja meg a Storage-fiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

2. Válassza ki a allowedaccount(random-number) lehetőséget.

3. Bontsa ki az Adattárolás szakaszt, és válassza a Fájlmegosztások lehetőséget.

4. Válassza a + Fájlmegosztás lehetőséget.

5. Az Új fájlmegosztásban adja meg vagy válassza ki a következő információkat.

   Beállítás	Érték
   Név	Adja meg a fájlmegosztást.

6. Hagyja meg a többi beállítást alapértelmezettként, és válassza a Véleményezés + létrehozás lehetőséget.

7. Válassza a Létrehozás lehetőséget.

8. Ismételje meg az előző lépéseket, ha fájlmegosztást szeretne létrehozni a deniedaccount(random-number) fájlban.

PowerShell

Engedélyezett tárfiók fájlmegosztásának létrehozása

A Get-AzStorageAccountKey használatával kérje le az engedélyezett tárfiók tárfiókkulcsát. A következő lépésben ezt a kulcsot fogja használni egy fájlmegosztás létrehozásához az engedélyezett tárfiókban.

$storageAcctName1 = "allowedaccount"
$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName1
}
$storageAcctKey1 = (Get-AzStorageAccountKey @storageAcctParams1).Value[0]

Hozzon létre egy környezetet a tárfiókhoz és a kulcshoz a New-AzStorageContext használatával. A környezet magában foglalja a tárfiók nevét és a fiókkulcsot.

$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1

Fájlmegosztás létrehozása a New-AzStorageShare használatával.

$share1 = New-AzStorageShare file-share -Context $storageContext1

Megtagadott tárfiók fájlmegosztásának létrehozása

A Get-AzStorageAccountKey használatával kérje le az engedélyezett tárfiók tárfiókkulcsát. A következő lépésben ezt a kulcsot fogja használni egy fájlmegosztás létrehozásához a megtagadott tárfiókban.

$storageAcctName2 = "deniedaccount"
$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    AccountName = $storageAcctName2
}
$storageAcctKey2 = (Get-AzStorageAccountKey @storageAcctParams2).Value[0]

Hozzon létre egy környezetet a tárfiókhoz és a kulcshoz a New-AzStorageContext használatával. A környezet magában foglalja a tárfiók nevét és a fiókkulcsot.

$storageContext2= New-AzStorageContext $storageAcctName2 $storageAcctKey2

Fájlmegosztás létrehozása a New-AzStorageShare használatával.

$share2 = New-AzStorageShare file-share -Context $storageContext2

Parancssori felület

Engedélyezett tárfiók fájlmegosztásának létrehozása

Kérje le a tárfiókok kapcsolati sztring egy változóba az az storage account show-connection-string használatával. A kapcsolati sztring egy későbbi lépésben hoz létre fájlmegosztást.

saConnectionString1=$(az storage account show-connection-string \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Hozzon létre egy fájlmegosztást a tárfiókban az az storage share create használatával. Egy későbbi lépésben ez a fájlmegosztás csatlakoztatva van a hálózathoz való hozzáférés megerősítéséhez.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString1 > /dev/null

Megtagadott tárfiók fájlmegosztásának létrehozása

Kérje le a tárfiókok kapcsolati sztring egy változóba az az storage account show-connection-string használatával. A kapcsolati sztring egy későbbi lépésben hoz létre fájlmegosztást.

saConnectionString2=$(az storage account show-connection-string \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --query 'connectionString' \
  --out tsv)

Hozzon létre egy fájlmegosztást a tárfiókban az az storage share create használatával. Egy későbbi lépésben ez a fájlmegosztás csatlakoztatva van a hálózathoz való hozzáférés megerősítéséhez.

az storage share create \
  --name file-share \
  --quota 2048 \
  --connection-string $saConnectionString2 > /dev/null

A tárfiókokhoz való összes hálózati hozzáférés megtagadása

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező hálózati kapcsolatokat elfogadnak. A tárfiókokhoz való hálózati hozzáférés korlátozásához konfigurálhatja a tárfiókot úgy, hogy csak bizonyos hálózatok kapcsolatait fogadja el. Ebben a példában úgy konfigurálja a tárfiókot, hogy csak a korábban létrehozott virtuális hálózati alhálózatról fogadjon kapcsolatokat.

Portál

1. A portál keresőmezőjében adja meg a Storage-fiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

2. Válassza ki a allowedaccount(random-number) lehetőséget.

3. Bontsa ki a Biztonság + hálózatkezelés lehetőséget, és válassza a Hálózatkezelés lehetőséget.

4. A tűzfalakban és a virtuális hálózatokban a nyilvános hálózati hozzáférésben válassza az Engedélyezve lehetőséget a kiválasztott virtuális hálózatok és IP-címek közül.

5. A virtuális hálózatokban válassza a + Meglévő virtuális hálózat hozzáadása lehetőséget.

6. A Hálózatok hozzáadása területen adja meg vagy válassza ki a következő információkat.

   Beállítás	Érték
   Előfizetés	Válassza ki előfizetését.
   Virtuális hálózatok	Válassza a vnet-1 lehetőséget.
   Alhálózatok	Válassza az 1. alhálózatot.

7. Válassza a Hozzáadás lehetőséget.

8. Válassza a Mentés lehetőséget.

9. Ismételje meg az előző lépéseket, hogy megtagadja a hálózati hozzáférést a denyaccount (véletlenszerű szám) szolgáltatáshoz.

PowerShell

Az Update-AzStorageAccountNetworkRuleSet használatával megtagadhatja a tárfiókokhoz való hozzáférést a korábban létrehozott virtuális hálózat és alhálózat kivételével. A hálózati hozzáférés megtagadása után a tárfiók nem érhető el egyetlen hálózatról sem.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams1

$storageAcctParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    DefaultAction = "Deny"
}
Update-AzStorageAccountNetworkRuleSet @storageAcctParams2

Csak a virtuális hálózati alhálózatról engedélyezze a hálózati hozzáférést

Kérje le a létrehozott virtuális hálózatot a Get-AzVirtualNetwork szolgáltatással, majd kérje le a privát alhálózati objektumot egy változóba a Get-AzVirtualNetworkSubnetConfig használatával:

$privateSubnetParams = @{
    ResourceGroupName = "test-rg"
    Name = "vnet-1"
}
$privateSubnet = Get-AzVirtualNetwork @privateSubnetParams | Get-AzVirtualNetworkSubnetConfig -Name "subnet-1"

Engedélyezze a tárfiókhoz való hálózati hozzáférést az 1. alhálózatról az Add-AzStorageAccountNetworkRule használatával.

$networkRuleParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams1

$networkRuleParams2 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName2
    VirtualNetworkResourceId = $privateSubnet.Id
}
Add-AzStorageAccountNetworkRule @networkRuleParams2

Parancssori felület

Alapértelmezés szerint a tárfiókok bármely hálózatban lévő ügyféltől érkező hálózati kapcsolatokat elfogadnak. A kijelölt hálózatokhoz való hozzáférés korlátozásához módosítsa az alapértelmezett műveletet a Megtagadás értékre az az storage-fiók frissítésével. A hálózati hozzáférés megtagadása után a tárfiók nem érhető el egyetlen hálózatról sem.

az storage account update \
  --name $storageAcctName1 \
  --resource-group test-rg \
  --default-action Deny

az storage account update \
  --name $storageAcctName2 \
  --resource-group test-rg \
  --default-action Deny

Csak a virtuális hálózati alhálózatról engedélyezze a hálózati hozzáférést

Engedélyezze a hálózati hozzáférést a tárfiókhoz az 1. alhálózatról az az storage account network-rule add használatával.

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName1 \
  --vnet-name vnet-1 \
  --subnet subnet-1

az storage account network-rule add \
  --resource-group test-rg \
  --account-name $storageAcctName2 \
  --vnet-name vnet-1 \
  --subnet subnet-1

Szabályzat alkalmazása érvényes tárfiókhoz való hozzáférés engedélyezéséhez

Létrehozhat egy szolgáltatásvégpont-szabályzatot. A szabályzat biztosítja, hogy a virtuális hálózat felhasználói csak biztonságos és engedélyezett Azure Storage-fiókokat férjenek hozzá. Ez a szabályzat a szolgáltatásvégpontokon keresztül a tárolóhoz csatlakoztatott virtuális hálózati alhálózatra alkalmazott engedélyezett tárfiókok listáját tartalmazza.

Szolgáltatásvégpont-szabályzat létrehozása

Ez a szakasz létrehozza a szabályzatdefiníciót a szolgáltatásvégponton keresztüli hozzáféréshez engedélyezett erőforrások listájával.

Portál

1. A portál keresőmezőjében adja meg a szolgáltatásvégpont-szabályzatot. Válassza ki a szolgáltatásvégpont-szabályzatokat a keresési eredmények között.

2. Új szolgáltatásvégpont-szabályzat létrehozásához válassza a + Létrehozás lehetőséget.

3. Adja meg vagy válassza ki a következő információkat a Szolgáltatásvégpont-szabályzat létrehozása alapszintű lapján.

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Név	Adja meg a szolgáltatásvégpont-szabályzatot.
   Hely	Válassza az USA 2. nyugati régióját.

4. Válassza a Következő: Szabályzatdefiníciók lehetőséget.

5. Válassza a + Erőforrás hozzáadása az erőforrásokban lehetőséget.

6. Az Erőforrás hozzáadása lapon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Szolgáltatás	Válassza a Microsoft.Storage lehetőséget.
   Hatókör	Egyetlen fiók kiválasztása
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Erőforrás	Select allowedaccount(random-number)

7. Válassza a Hozzáadás lehetőséget.

8. Válassza a Felülvizsgálat és létrehozás lehetőséget.

9. Válassza a Létrehozás lehetőséget.

PowerShell

Az első (engedélyezett) tárfiók erőforrás-azonosítójának lekéréséhez használja a Get-AzStorageAccount parancsot.

$storageAcctParams1 = @{
    ResourceGroupName = "test-rg"
    Name = $storageAcctName1
}
$resourceId = (Get-AzStorageAccount @storageAcctParams1).id

Ha az előző erőforrás engedélyezéséhez létre szeretné hozni a szabályzatdefiníciót, használja a New-AzServiceEndpointPolicyDefinition parancsot .

$policyDefinitionParams = @{
    Name = "policy-definition"
    Description = "Service Endpoint Policy Definition"
    Service = "Microsoft.Storage"
    ServiceResource = $resourceId
}
$policyDefinition = New-AzServiceEndpointPolicyDefinition @policyDefinitionParams

A New-AzServiceEndpointPolicy használatával hozza létre a szolgáltatásvégpont-szabályzatot a szabályzatdefinícióval.

$sepolicyParams = @{
    ResourceGroupName = "test-rg"
    Name = "service-endpoint-policy"
    Location = "westus2"
    ServiceEndpointPolicyDefinition = $policyDefinition
}
$sepolicy = New-AzServiceEndpointPolicy @sepolicyParams

Parancssori felület

A szolgáltatásvégpont-szabályzatok a szolgáltatásvégpontokon vannak alkalmazva. Először hozzon létre egy szolgáltatásvégpont-szabályzatot. Ezután hozza létre a szabályzatdefiníciókat ebben a szabályzatban az alhálózathoz jóváhagyandó Azure Storage-fiókokhoz

Az az storage account show használatával lekérheti az engedélyezett tárfiók erőforrás-azonosítóját.

serviceResourceId=$(az storage account show --name allowedaccount --query id --output tsv)

Szolgáltatásvégpont-szabályzat létrehozása

az network service-endpoint policy create \
  --resource-group test-rg \
  --name service-endpoint-policy \
  --location westus2

Szabályzatdefiníció létrehozása és hozzáadása az előző Azure Storage-fiók szolgáltatásvégpont-szabályzathoz való engedélyezéséhez

az network service-endpoint policy-definition create \
  --resource-group test-rg \
  --policy-name service-endpoint-policy \
  --name policy-definition \
  --service "Microsoft.Storage" \
  --service-resources $serviceResourceId

Szolgáltatásvégpont-szabályzat társítása alhálózathoz

A szolgáltatásvégpont-szabályzat létrehozása után a célalhálózathoz társítja az Azure Storage szolgáltatásvégpont-konfigurációjával.

Portál

1. A portál keresőmezőjében adja meg a szolgáltatásvégpont-szabályzatot. Válassza ki a szolgáltatásvégpont-szabályzatokat a keresési eredmények között.

2. Válassza ki a szolgáltatásvégpont-szabályzatot.

3. Bontsa ki a Beállítások elemet , és válassza a Társított alhálózatok lehetőséget.

4. Válassza az +Alhálózat-társítás szerkesztése lehetőséget.

5. Az Alhálózat-társítás szerkesztése területen válassza az 1 . és az 1. alhálózatot.

6. Válassza az Alkalmazás lehetőséget.

PowerShell

A Set-AzVirtualNetworkSubnetConfig használatával társítsa a szolgáltatásvégpont-szabályzatot az alhálózathoz.

$subnetConfigParams = @{
    VirtualNetwork = $VirtualNetwork
    Name = "subnet-1"
    AddressPrefix = "10.0.0.0/24"
    NetworkSecurityGroup = $nsg
    ServiceEndpoint = "Microsoft.Storage"
    ServiceEndpointPolicy = $sepolicy
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

$virtualNetwork | Set-AzVirtualNetwork

Parancssori felület

Az az network vnet subnet update használatával társíthatja a szolgáltatásvégpont-szabályzatot az alhálózathoz.

az network vnet subnet update \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --service-endpoints Microsoft.Storage \
  --service-endpoint-policy service-endpoint-policy

Figyelmeztetés

Győződjön meg arról, hogy az alhálózatról elért összes erőforrás hozzá lesz adva a szabályzatdefinícióhoz, mielőtt társítja a szabályzatot az adott alhálózathoz. A szabályzat társítása után csak az engedélyezett felsorolt erőforrásokhoz való hozzáférés lesz engedélyezve a szolgáltatásvégpontokon keresztül.

Győződjön meg arról, hogy a szolgáltatásvégpont-szabályzathoz társított alhálózaton nincsenek felügyelt Azure-szolgáltatások.

Az Azure Storage-erőforrásokhoz való hozzáférés az alhálózat szolgáltatásvégpont-szabályzatának megfelelően minden régióban korlátozott lesz.

Az Azure Storage-fiókok hozzáférés-korlátozásának ellenőrzése

A tárfiókhoz való hálózati hozzáférés teszteléséhez helyezzen üzembe egy virtuális gépet az alhálózaton.

A virtuális gép üzembe helyezése

Portál

1. A portál keresőmezőjében adja meg a virtuális gépeket. Válassza ki a virtuális gépeket a keresési eredmények között.

2. A Virtuális gép létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Virtuális gép neve	Adja meg a vm-1 értéket.
   Régió	Válassza az (USA) USA 2. nyugati régiója elemet.
   Rendelkezésre állási beállítások	Válassza a Nincs szükség infrastruktúra-redundanciára lehetőséget.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Kép	Válassza a Windows Server 2022 Datacenter – x64 Gen2 lehetőséget.
   Méret	Válasszon ki egy méretet.
   Rendszergazdai fiók
   Felhasználónév	Adjon meg egy felhasználónevet.
   Jelszó	Adjon meg egy jelszót.
   Jelszó megerősítése	Írja be ismét a jelszót.
   Bejövő portszabályok

3. Válassza a Következő: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.

4. A Hálózatkezelés lapon adja meg vagy válassza ki a következő adatokat.

   Beállítás	Érték
   Hálózati adapter
   Virtuális hálózat	Válassza a vnet-1 lehetőséget.
   Alhálózat	Válassza az 1. alhálózatot (10.0.0.0/24).
   Nyilvános IP-cím	Válassza a Nincs lehetőséget.
   Hálózati hálózati biztonsági csoport	Válassza a Nincs lehetőséget.

5. Hagyja meg a többi beállítást alapértelmezettként, és válassza a Véleményezés + Létrehozás lehetőséget.

6. Válassza a Létrehozás lehetőséget.

PowerShell

Hozzon létre egy virtuális gépet az 1. alhálózatban a New-AzVM használatával. Az alábbi parancs futtatásakor a rendszer hitelesítő adatokat kér. Az itt megadott értékek határozzák meg a virtuális géphez tartozó felhasználónevet és jelszót.

$vmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-1"
    Name = "vm-1"
}
New-AzVm @vmParams

Parancssori felület

Hozzon létre egy virtuális gépet az 1. alhálózatban az az vm create használatával.

az vm create \
  --resource-group test-rg \
  --name vm-1 \
  --image Win2022Datacenter \
  --admin-username azureuser \
  --vnet-name vnet-1 \
  --subnet subnet-1

Várja meg, amíg a virtuális gép üzembe helyezése befejeződik, mielőtt továbblép a következő lépésekre.

Az engedélyezett tárfiókhoz való hozzáférés megerősítése

1. Jelentkezzen be az Azure Portalba.

2. A portál keresőmezőjében adja meg a Storage-fiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

3. Válassza ki a allowedaccount(random-number) lehetőséget.

4. Bontsa ki a Biztonság + hálózatkezelés lehetőséget, és válassza az Access-kulcsokat.

5. Másolja ki a kulcs1 értéket. Ezzel a kulccsal egy meghajtót rendelhet a tárfiókhoz a korábban létrehozott virtuális gépről.

6. A portál keresőmezőjében adja meg a virtuális gépeket. Válassza ki a virtuális gépeket a keresési eredmények között.

7. Válassza ki a vm-1 elemet.

8. Műveletek kibontása. Válassza a Futtatás parancsot.

9. Válassza a RunPowerShellScript lehetőséget.

10. Illessze be a következő szkriptet a Parancsprogram futtatása parancsprogramba.

    ## Enter the storage account key for the allowed storage account that you recorded earlier.
    $storageAcctKey1 = (pasted from procedure above)
    $acctKey = ConvertTo-SecureString -String $storageAcctKey1 -AsPlainText -Force
    ## Replace the login account with the name of the storage account you created.
    $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\allowedaccount"), $acctKey
    ## Replace the storage account name with the name of the storage account you created.
    New-PSDrive -Name Z -PSProvider FileSystem -Root "\\allowedaccount.file.core.windows.net\file-share" -Credential $credential
    

11. Válassza a Futtatás lehetőséget.

12. Ha a meghajtótérkép sikeres, a Kimenet mezőben lévő kimenet az alábbi példához hasonlóan néz ki:

    Name           Used (GB)     Free (GB) Provider      Root
    ----           ---------     --------- --------      ----
    Z                                      FileSystem    \\allowedaccount.file.core.windows.net\fil..
    

Ellenőrizze, hogy a hozzáférés megtagadva van-e a megtagadott tárfiókhoz

1. A portál keresőmezőjében adja meg a Storage-fiókokat. Válassza ki a Storage-fiókokat a keresési eredmények között.

2. Válassza ki a deniedaccount(random-number) lehetőséget.

3. Bontsa ki a Biztonság + hálózatkezelés lehetőséget, és válassza az Access-kulcsokat.

4. Másolja ki a kulcs1 értéket. Ezzel a kulccsal egy meghajtót rendelhet a tárfiókhoz a korábban létrehozott virtuális gépről.

5. A portál keresőmezőjében adja meg a virtuális gépeket. Válassza ki a virtuális gépeket a keresési eredmények között.

6. Válassza ki a vm-1 elemet.

7. Műveletek kibontása. Válassza a Futtatás parancsot.

8. Válassza a RunPowerShellScript lehetőséget.

9. Illessze be a következő szkriptet a Parancsprogram futtatása parancsprogramba.

   ## Enter the storage account key for the denied storage account that you recorded earlier.
   $storageAcctKey2 = (pasted from procedure above)
   $acctKey = ConvertTo-SecureString -String $storageAcctKey2 -AsPlainText -Force
   ## Replace the login account with the name of the storage account you created.
   $credential = New-Object System.Management.Automation.PSCredential -ArgumentList ("Azure\deniedaccount"), $acctKey
   ## Replace the storage account name with the name of the storage account you created.
   New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount.file.core.windows.net\file-share" -Credential $credential
   

10. Válassza a Futtatás lehetőséget.

11. A Kimenet mezőben a következő hibaüzenet jelenik meg:

    New-PSDrive : Access is denied
    At line:1 char:1
    + New-PSDrive -Name Z -PSProvider FileSystem -Root "\\deniedaccount8675 ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
    + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    

12. A meghajtóleképező a tárfiókhoz való hozzáférést korlátozó szolgáltatásvégpont-szabályzat miatt le van tiltva.

Portál

Ha befejezte a létrehozott erőforrások használatát, törölheti az erőforráscsoportot és annak összes erőforrását.

1. Az Azure Portalon keresse meg és válassza ki az erőforráscsoportokat.

2. Az Erőforráscsoportok lapon válassza ki a test-rg erőforráscsoportot.

3. A test-rg lapon válassza az Erőforráscsoport törlése lehetőséget.

4. A törlés megerősítéséhez írja be a test-rg értéket az Erőforráscsoport neve mezőbe, majd válassza a Törlés lehetőséget.

PowerShell

Ha már nincs rá szükség, a Remove-AzResourceGroup használatával eltávolíthatja az erőforráscsoportot és az összes benne lévő erőforrást:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

Parancssori felület

Ha már nincs rá szükség, az az group delete használatával távolítsa el az erőforráscsoportot és az összes benne lévő erőforrást.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Következő lépések

Ebben az oktatóanyagban létrehozott egy szolgáltatásvégpont-szabályzatot, és hozzárendelte egy alhálózathoz. A szolgáltatásvégpont-szabályzatokkal kapcsolatos további információkért tekintse meg a szolgáltatásvégpont-szabályzatok áttekintését.