Végpontok hozzáférés-vezérlési listáinak kezelése a PowerShell használatával a klasszikus üzembe helyezési modellben
A végpontok hálózati Access Control listák (ACL-ek) létrehozásához és kezeléséhez használja a Azure PowerShell vagy a felügyeleti portál. Ebben a témakörben a PowerShell használatával teljesítheti az ACL gyakori feladatainak eljárásait. A parancsmagok listájáért Azure PowerShell Azure Management-parancsmagok. Az ACL-ekkel kapcsolatos további információkért lásd: Mi az a hálózati hozzáférés-Access Control lista (ACL)?. Ha az ACL-eket a felügyeleti portál segítségével szeretné kezelni, tekintse meg a végpontok virtuális géphez való beállítását.
Hálózati ACL-ek kezelése a Azure PowerShell
A hálózati Azure PowerShell (ACL-ek) létrehozásához, eltávolításához és konfigurálásához (beállításához) Access Control parancsmagokat. Bemutattunk néhány példát arra, hogyan konfigurálhat ACL-t a PowerShell használatával.
Az ACL PowerShell-parancsmagok teljes listájának lekérése a következők egyikével használhatja:
Get-Help *AzureACL*
Get-Command -Noun AzureACLConfig
Hálózati ACL létrehozása távoli alhálózatról való hozzáférést engedélyező szabályokkal
Az alábbi példa egy szabályokat tartalmazó új ACL létrehozására mutat be egy példát. A rendszer ezután alkalmazza ezt az ACL-t egy virtuálisgép-végpontra. Az alábbi példában látható ACL-szabályok lehetővé teszik a távoli alhálózatról való hozzáférést. Ha új hálózati ACL-t hoz létre egy távoli alhálózat engedélyezési szabályaival, nyisson meg egy Azure PowerShell ISE-t. Másolja és illessze be az alábbi szkriptet, konfigurálja a szkriptet a saját értékeivel, majd futtassa a szkriptet.
Hozza létre az új hálózati ACL-objektumot.
$acl1 = New-AzureAclConfig
Állítson be egy szabályt, amely engedélyezi a távoli alhálózatról való hozzáférést. Az alábbi példában a 100-as szabályt (amelynek prioritása a 200-as és újabb szabálynál magasabb) úgy adhatja meg, hogy a 10.0.0.0/8 távoli alhálózat hozzáférjen a virtuális gép végponthoz. Cserélje le az értékeket a saját konfigurációs követelményeire. Az "SharePoint ACL-konfiguráció" nevet a szabálynak hívni kívánt rövid névre kell cserélni.
Set-AzureAclConfig –AddRule –ACL $acl1 –Order 100 ` –Action permit –RemoteSubnet "10.0.0.0/8" ` –Description "SharePoint ACL config"
További szabályok esetén ismételje meg a parancsmagot, és cserélje le az értékeket a saját konfigurációs követelményeire. Mindenképpen módosítsa a Order (Sorrend) szabályszámot, hogy az tükrözze a szabályok alkalmazásának sorrendjét. Az alacsonyabb szabályszám elsőbbséget élvez a magasabb számmal.
Set-AzureAclConfig –AddRule –ACL $acl1 –Order 200 ` –Action permit –RemoteSubnet "157.0.0.0/8" ` –Description "web frontend ACL config"
Ezután létrehozhat egy új végpontot (Hozzáadás), vagy beállíthatja egy meglévő végpont ACL-ét (Set). Ebben a példában hozzáadunk egy "web" nevű új virtuálisgép-végpontot, és frissítjük a virtuális gép végpontját az ACL-beállításokkal.
Get-AzureVM –ServiceName $serviceName –Name $vmName ` | Add-AzureEndpoint –Name "web" –Protocol tcp –Localport 80 - PublicPort 80 –ACL $acl1 ` | Update-AzureVM
Ezután kombinálja a parancsmagokat, és futtassa a szkriptet. Ebben a példában a kombinált parancsmagok az alábbihoz hasonlók:
$acl1 = New-AzureAclConfig Set-AzureAclConfig –AddRule –ACL $acl1 –Order 100 ` –Action permit –RemoteSubnet "10.0.0.0/8" ` –Description "SharePoint ACL config" Set-AzureAclConfig –AddRule –ACL $acl1 –Order 200 ` –Action permit –RemoteSubnet "157.0.0.0/8" ` –Description "web frontend ACL config" Get-AzureVM –ServiceName $serviceName –Name $vmName ` |Add-AzureEndpoint –Name "web" –Protocol tcp –Localport 80 - PublicPort 80 –ACL $acl1 ` |Update-AzureVM
Távoli alhálózatról való hozzáférést engedélyező hálózati ACL-szabály eltávolítása
Az alábbi példa egy hálózati ACL-szabály eltávolításának módját mutatja be. Egy távoli alhálózat engedélyezési szabályait engedélyező hálózati ACL-szabály eltávolításához nyisson meg egy Azure PowerShell ISE-t. Másolja és illessze be az alábbi szkriptet, konfigurálja a szkriptet a saját értékeivel, majd futtassa a szkriptet.
Első lépésként le kell szereznie a virtuális gép végpontjának hálózati ACL-objektumát. Ezután el fogja távolítani az ACL-szabályt. Ebben az esetben szabályazonosító alapján távolítjuk el. Ez csak a 0 szabályazonosítót távolítja el az ACL-ről. Nem távolítja el az ACL-objektumot a virtuálisgép-végpontról.
Get-AzureVM –ServiceName $serviceName –Name $vmName ` | Get-AzureAclConfig –EndpointName "web" ` | Set-AzureAclConfig –RemoveRule –ID 0 –ACL $acl1
Ezután alkalmaznia kell a hálózati ACL-objektumot a virtuális gép végpontjára, és frissítenie kell a virtuális gépet.
Get-AzureVM –ServiceName $serviceName –Name $vmName ` | Set-AzureEndpoint –ACL $acl1 –Name "web" ` | Update-AzureVM
Hálózati ACL eltávolítása egy virtuálisgép-végpontról
Bizonyos esetekben érdemes lehet eltávolítani egy hálózati ACL-objektumot egy virtuálisgép-végpontról. Ennek hez nyisson meg egy Azure PowerShell ISE-t. Másolja és illessze be az alábbi szkriptet, konfigurálja a szkriptet a saját értékeivel, majd futtassa a szkriptet.
Get-AzureVM –ServiceName $serviceName –Name $vmName `
| Remove-AzureAclConfig –EndpointName "web" `
| Update-AzureVM