Tutorial: Membatasi akses jaringan ke sumber daya PaaS dengan titik akhir layanan jaringan virtual

Titik akhir layanan jaringan virtual memungkinkan Anda membatasi akses jaringan ke beberapa sumber daya layanan Azure ke subnet jaringan virtual. Anda juga dapat menghapus akses internet ke sumber daya. Titik akhir layanan menyediakan koneksi langsung dari jaringan virtual Anda ke layanan Azure yang didukung, sehingga Anda dapat menggunakan ruang alamat privat jaringan virtual untuk mengakses layanan Azure. Lalu lintas yang ditujukan ke sumber daya Azure melalui titik akhir layanan selalu tetap berada di jaringan backbone Microsoft Azure.

Dalam tutorial ini, Anda akan mempelajari cara:

• Membuat jaringan virtual dengan satu subnet
• Menambahkan subnet dan mengaktifkan titik akhir layanan
• Membuat sumber daya Azure dan mengizinkan akses jaringan hanya dari subnet
• Menyebarkan komputer virtual (VM) ke setiap subnet
• Mengonfirmasi akses ke sumber daya dari subnet
• Pastikan akses ke sumber daya dari subnet dan internet telah ditolak

Prasyarat

Portal

• Akun Azure dengan langganan aktif. Buat akun gratis.

PowerShell

Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.

Azure Cloud Shell

Azure meng-hosting Azure Cloud Shell, lingkungan shell interaktif yang dapat Anda gunakan melalui browser. Anda dapat menggunakan Bash atau PowerShell dengan Cloud Shell untuk bekerja dengan layanan Azure. Anda dapat menggunakan perintah Cloud Shell yang telah diinstal sebelumnya untuk menjalankan kode dalam artikel ini tanpa harus menginstal apa-apa di lingkungan lokal Anda.

Untuk memulai Azure Cloud Shell:

Opsi	Contoh/Tautan
Pilih Coba di pojok kanan atas blok kode atau perintah. Memilih Coba tidak otomatis menyalin kode atau perintah ke Cloud Shell.
Buka https://shell.azure.com, atau pilih tombol Luncurkan Cloud Shell untuk membuka Cloud Shell di browser Anda.
Pilih tombol Cloud Shell pada bilah menu di kanan atas di portal Microsoft Azure.

Untuk menggunakan Azure Cloud Shell:

1. Mulai Cloud Shell.

2. Pilih tombol Salin pada blok kode (atau blok perintah) untuk menyalin kode atau perintah.

3. Tempel kode atau perintah ke dalam sesi Cloud Shell dengan memilih Ctrl+Shift+V di Windows dan Linux, atau dengan memilih Cmd+Shift+V di macOS.

4. Pilih Masukkan untuk menjalankan kode atau perintah.

Jika Anda memilih untuk memasang dan menggunakan PowerShell secara lokal, artikel ini memerlukan modul Azure PowerShell versi 1.0.0 atau yang lebih baru. Jalankan Get-Module -ListAvailable Az untuk menemukan versi terinstal. Jika Anda perlu peningkatan, lihat Instal modul Azure PowerShell. Jika Anda menjalankan PowerShell secara lokal, Anda juga harus menjalankan Connect-AzAccount untuk membuat koneksi dengan Azure.

CLI

Jika Anda tidak memiliki akun Azure, buat akun gratis sebelum memulai.

• Gunakan lingkungan Bash di Azure Cloud Shell. Untuk informasi selengkapnya, lihat Mulai menggunakan Azure Cloud Shell.

  

• Jika Anda lebih suka menjalankan perintah referensi CLI secara lokal, instal Azure CLI. Jika Anda menjalankan Windows atau macOS, pertimbangkan untuk menjalankan Azure CLI dalam kontainer Docker. Untuk informasi lebih lanjut, lihat Cara menjalankan Azure CLI di kontainer Docker.

  • Jika Anda menggunakan instalasi lokal, masuk ke Azure CLI dengan menggunakan perintah login az. Untuk menyelesaikan proses autentikasi, ikuti langkah-langkah yang ditampilkan di terminal Anda. Untuk opsi masuk lainnya, lihat Mengautentikasi ke Azure menggunakan Azure CLI.

  • Saat Anda diminta, instal ekstensi Azure CLI pada penggunaan pertama. Untuk informasi selengkapnya tentang ekstensi, lihat Menggunakan dan mengelola ekstensi dengan Azure CLI.

  • Jalankan versi az untuk menemukan versi dan pustaka dependen yang diinstal. Untuk memperbarui ke versi terbaru, jalankan az upgrade.

• Artikel ini memerlukan Azure CLI versi 2.0.28 atau yang lebih baru. Jika menggunakan Azure Cloud Shell, versi terbaru sudah terinstal.

Mengaktifkan titik akhir layanan

Portal

Membuat jaringan virtual dan host Azure Bastion

Prosedur berikut membuat jaringan virtual dengan subnet sumber daya, subnet Azure Bastion, dan host Bastion:

1. Di portal, cari dan pilih Jaringan virtual.

2. Pada halaman Jaringan virtual, pilih + Buat.

3. Pada tab Dasar dariBuat jaringan virtual, masukkan, atau pilih informasi berikut:

   Pengaturan	Nilai
   Detail proyek
   Langganan	Pilih langganan Anda.
   Grup sumber daya	Pilih Buat baru. Masukkan test-rg untuk nama tersebut. Pilih OK.
   Detil instance
   Nama	Masukkan vnet-1.
   Wilayah	Pilih East US 2.

   

4. Pilih Berikutnya untuk melanjutkan ke tab Keamanan .

5. Di bagian Azure Bastion , pilih Aktifkan Azure Bastion.

   Bastion menggunakan browser Anda untuk terhubung ke VM di jaringan virtual Anda melalui Secure Shell (SSH) atau Remote Desktop Protocol (RDP) dengan menggunakan alamat IP privat mereka. VM tidak memerlukan alamat IP publik, perangkat lunak klien, atau konfigurasi khusus. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Azure Bastion?.

   Catatan

   Harga per jam berlaku sejak Bastion diaktifkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.

6. Di Azure Bastion, masukkan atau pilih informasi berikut:

   Pengaturan	Nilai
   Nama host Azure Bastion	Masukkan bastion.
   Alamat IP publik Azure Bastion	Pilih Buat alamat IP publik. Masukkan public-ip-bastion di Nama. Pilih OK.

   

7. Pilih Berikutnya untuk melanjutkan ke tab Alamat IP.

8. Dalam kotak ruang alamat di Subnet, pilih subnet default .

9. Di Edit subnet, masukkan atau pilih informasi berikut:

   Pengaturan	Nilai
   Tujuan subnet	Biarkan nilai bawaan Default.
   Nama	Masukkan subnet-1.
   IPv4
   Rentang alamat IPv4	Biarkan default 10.0.0.0/16.
   Alamat awal	Biarkan defaultnya 10.0.0.0.
   Ukuran	Biarkan nilai default /24 (256 alamat).

   

10. Pilih Simpan.

11. Pilih Tinjau + buat di bagian bawah jendela. Saat melalui validasi, pilih Buat.

Titik akhir layanan diaktifkan per layanan, per subnet.

1. Di kotak pencarian di bagian atas halaman portal, cari Jaringan virtual. Pilih Jaringan Virtual di hasil pencarian.

2. Di Jaringan virtual, pilih vnet-1.

3. Di bagian Pengaturan dari vnet-1, pilih Subnets.

4. Pilih + Subnet.

5. Pada halaman Tambahkan subnet , masukkan, atau pilih informasi berikut ini:

   Pengaturan	Nilai
   Nama	subnet-privat
   Rentang alamat subnet	Biarkan default 10.0.2.0/24.
   TITIK AKHIR LAYANAN
   Layanan	Pilih Microsoft.Storage

6. Pilih Simpan.

Perhatian

Sebelum mengaktifkan titik akhir layanan untuk subnet yang sudah ada yang berisi sumber daya, lihat Mengubah pengaturan subnet.

PowerShell

Membuat jaringan virtual

1. Sebelum membuat jaringan virtual, Anda harus membuat grup sumber daya untuk jaringan virtual, dan semua sumber daya lain yang dibuat di artikel ini. Membuat grup sumber daya menggunakan New-AzResourceGroup. Contoh berikut membuat grup sumber daya bernama test-rg:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Buat jaringan virtual dengan New-AzVirtualNetwork. Contoh berikut membuat jaringan virtual bernama vnet-1 dengan awalan alamat 10.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Memuat konfigurasi subnet dengan New-AzVirtualNetworkSubnetConfig. Contoh berikut membuat konfigurasi subnet untuk subnet bernama subnet-public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Memuat subnet di jaringan virtual dengan menulis konfigurasi subnet ke jaringan virtual dengan Set-AzVirtualNetwork:

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Buat subnet lain di jaringan virtual. Dalam contoh ini, subnet bernama subnet-private dibuat dengan titik akhir layanan untuk Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Sebarkan Azure Bastion

Azure Bastion menggunakan browser Anda untuk menyambungkan ke VM di jaringan virtual Anda melalui Secure Shell (SSH) atau Remote Desktop Protocol (RDP) dengan menggunakan alamat IP privat mereka. VM tidak memerlukan alamat IP publik, perangkat lunak klien, atau konfigurasi khusus. Untuk informasi selengkapnya tentang Bastion, lihat Apa itu Azure Bastion?.

Harga per jam berlaku sejak Bastion diaktifkan, terlepas dari penggunaan data keluar. Untuk informasi selengkapnya, lihat Harga dan SKU. Jika Anda menyebarkan Bastion sebagai bagian dari tutorial atau pengujian, kami sarankan Anda menghapus sumber daya ini setelah Selesai menggunakannya.

1. Konfigurasikan subnet Bastion untuk jaringan virtual Anda. Subnet ini dicadangkan khusus untuk sumber daya Bastion dan harus diberi nama AzureBastionSubnet.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Atur konfigurasi:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Buat alamat IP publik untuk Bastion. Host Bastion menggunakan IP publik untuk mengakses SSH dan RDP melalui port 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Gunakan perintah New-AzBastion untuk membuat host Bastion standar baru di AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Dibutuhkan sekitar 10 menit untuk menyebarkan sumber daya Bastion. Anda dapat membuat VM di bagian berikutnya saat Bastion disebarkan ke jaringan virtual Anda.

CLI

Membuat jaringan virtual

1. Sebelum membuat jaringan virtual, Anda harus membuat grup sumber daya untuk jaringan virtual, dan semua sumber daya lain yang dibuat di artikel ini. Buat grup sumber daya dengan az group create. Contoh berikut membuat grup sumber daya bernama test-rg di lokasi westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Membuat jaringan virtual dengan satu subnet menggunakan az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. Anda hanya dapat mengaktifkan titik akhir layanan untuk layanan yang mendukung titik akhir layanan. Lihat layanan yang mendukung titik akhir yang tersedia di lokasi Azure dengan az network vnet list-endpoint-services. Contoh berikut mengembalikan daftar layanan dengan dukungan titik akhir layanan yang tersedia di wilayah westus2 . Daftar layanan yang dikembalikan akan bertambah seiring waktu, seiring semakin banyak layanan Azure yang diaktifkan sebagai titik akhir layanan.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Buat subnet lain di jaringan virtual dengan az network vnet subnet create. Dalam contoh ini, titik akhir layanan untuk Microsoft.Storage dibuat untuk subnet:

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

Membatasi akses jaringan untuk subnet

Portal

Secara default, semua instans komputer virtual dalam subnet dapat berkomunikasi dengan semua sumber daya. Anda dapat membatasi komunikasi ke dan dari semua sumber daya dalam subnet dengan membuat grup keamanan jaringan, dan mengaitkannya ke subnet.

1. Di kotak pencarian di bagian atas halaman portal, cari Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

2. Di Grup keamanan jaringan, pilih + Buat.

3. Di tab Dasar-dasar dari Buat grup keamanan jaringan, masukkan, atau pilih informasi berikut:

   Pengaturan	Nilai
   Detail proyek
   Langganan	Pilih langganan Anda.
   Grup sumber daya	Pilih test-rg.
   Detil instance
   Nama	Masukkan nsg-storage.
   Wilayah	Pilih East US 2.

4. Pilih Tinjau + buat, lalu pilih Buat.

PowerShell

1. Buat grup keamanan jaringan dengan New-AzNetworkSecurityGroup. Contoh berikut membuat grup keamanan jaringan bernama nsg-private.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

CLI

Buat kelompok keamanan jaringan dengan az network nsg create. Contoh berikut membuat grup keamanan jaringan bernama nsg-private.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

Membuat aturan keluar Kelompok Keamanan Jaringan (NSG)

Portal

1. Di kotak pencarian di bagian atas halaman portal, cari Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

2. Pilih nsg-storage.

3. Pilih Aturan keamanan keluar di Setelan.

4. Pilih + Tambah.

5. Buat aturan yang memungkinkan komunikasi keluar ke layanan Azure Storage. Masukkan atau pilih informasi berikut di Tambahkan aturan keamanan keluar:

   Pengaturan	Nilai
   Sumber	Pilih Service Tag.
   Tag layanan sumber	Pilih VirtualNetwork.
   Rentang port sumber	Biarkan tetap default *.
   Tujuan	Pilih Service Tag.
   Tag layanan tujuan	Pilih Penyimpanan.
   Layanan	Biarkan sebagai default Kustom.
   Rentang port tujuan	Masukkan 445.
   Protokol	Pilih Apa pun.
   Perbuatan	Pilih Izinkan.
   Prioritas	Biarkan nilai default 100.
   Nama	Masukkan allow-storage-all.

6. Pilih + Tambah.

7. Buat aturan keamanan keluar baru yang menolak komunikasi dengan internet. Aturan ini mengesampingkan aturan default di semua grup keamanan jaringan yang memungkinkan komunikasi internet keluar. Selesaikan langkah-langkah sebelumnya dengan nilai berikut di Tambahkan aturan keamanan keluar:

   Pengaturan	Nilai
   Sumber	Pilih Service Tag.
   Tag layanan sumber	Pilih VirtualNetwork.
   Rentang port sumber	Biarkan tetap default *.
   Tujuan	Pilih Service Tag.
   Tag layanan tujuan	Pilih Internet.
   Layanan	Biarkan sebagai default Kustom.
   Rentang port tujuan	Masukkan *.
   Protokol	Pilih Apa pun.
   Perbuatan	Pilih Tolak.
   Prioritas	Biarkan default 110.
   Nama	Masukkan deny-internet-all.

8. Pilih Tambahkan.

9. Di kotak pencarian di bagian atas halaman portal, cari Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.

10. Pilih nsg-storage.

11. Pilih Subnet di Pengaturan.

12. Pilih + Asosiasikan.

13. Di Hubungkan subnet, pilih vnet-1 di Jaringan virtual. Pilih subnet-privat di Subnet.

14. Pilih OK.

PowerShell

1. Membuat aturan keamanan bagi kelompok keamanan jaringan dengan New-AzNetworkSecurityRuleConfig. Aturan berikut ini memungkinkan akses keluar ke alamat IP publik yang ditetapkan ke layanan Microsoft Azure Storage:

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Aturan berikut ini menolak akses ke semua alamat IP publik. Aturan sebelumnya mengesampingkan aturan ini karena prioritasnya yang lebih tinggi, yang memungkinkan akses ke alamat IP publik Microsoft Azure Storage.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Gunakan Get-AzNetworkSecurityGroup untuk mengambil objek grup keamanan jaringan ke dalam variabel. Gunakan Set-AzNetworkSecurityRuleConfig untuk menambahkan aturan ke grup keamanan jaringan.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Hubungkan grup keamanan jaringan ke subnet-privat dengan Set-AzVirtualNetworkSubnetConfig dan kemudian tulis konfigurasi subnet ke jaringan virtual. Contoh berikut mengasosiasikan grup keamanan jaringan nsg-private dengan subnet-private subnet:

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

CLI

1. Buat aturan keamanan dengan az network nsg rule create. Aturan berikut ini memungkinkan akses keluar ke alamat IP publik yang ditetapkan ke layanan Microsoft Azure Storage:

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Setiap kelompok keamanan jaringan berisi beberapa aturan keamanan default. Aturan yang mengikuti mengambil alih aturan keamanan default yang memungkinkan akses keluar ke semua alamat IP publik. Opsi destination-address-prefix "Internet" ini menolak akses keluar ke semua alamat IP publik. Aturan sebelumnya mengesampingkan aturan ini karena prioritasnya yang lebih tinggi, yang memungkinkan akses ke alamat IP publik Microsoft Azure Storage.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Aturan berikut memungkinkan lalu lintas SSH masuk ke subnet dari mana saja. Aturan ini mengesampingkan aturan keamanan default yang menolak semua lalu lintas masuk dari internet. SSH diizinkan ke subnet agar konektivitas dapat diuji di langkah selanjutnya.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Kaitkan grup keamanan jaringan ke subnet subnet-private dengan az network vnet subnet update. Contoh berikut mengasosiasikan grup keamanan jaringan nsg-private dengan subnet-private subnet:

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

Membatasi akses jaringan ke sumber daya

Portal

Langkah-langkah yang diperlukan untuk membatasi akses jaringan ke sumber daya yang dibuat melalui layanan Azure, yang diaktifkan untuk titik akhir layanan bervariasi di seluruh layanan. Lihat dokumentasi untuk layanan individual untuk langkah-langkah spesifik untuk setiap layanan. Bagian lainnya dari tutorial ini mencakup langkah-langkah untuk membatasi akses jaringan untuk akun Microsoft Azure Storage, sebagai contoh.

Buat akun penyimpanan

Buat akun Azure Storage untuk langkah-langkah dalam artikel ini. Jika Anda sudah memiliki akun penyimpanan, Anda dapat menggunakannya sebagai gantinya.

1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

2. Pilih + Buat.

3. Pada tab Dasar-Dasarbuat akun penyimpanan, masukkan atau pilih informasi berikut ini:

   Pengaturan	Nilai
   Detail Proyek
   Langganan	Pilih langganan Azure Anda.
   Grup Sumber Daya	Pilih test-rg.
   Detil instance
   Nama akun penyimpanan	Masukkan storage1. Jika nama tidak tersedia, masukkan nama unik.
   Lokasi	Pilih (US) East US 2.
   Kinerja	Biarkan Standar sebagai default.
   Redundansi	Pilih Penyimpanan redundan secara lokal (LRS).

4. Pilih Tinjau.

5. Pilih Buat.

PowerShell

1. Membuat akun penyimpanan Azure dengan New-AzStorageAccount. Ganti <replace-with-your-unique-storage-account-name> dengan nama yang unik di semua lokasi Azure, dengan panjang antara 3-24 karakter, hanya dengan menggunakan angka dan huruf kecil.

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. Setelah akun penyimpanan dibuat, ambillah kunci untuk akun penyimpanan ke dalam variabel dengan Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   Kunci digunakan untuk membuat berbagi file di langkah selanjutnya. Masukkan $storageAcctKey dan catat nilainya. Anda memasukkannya secara manual di langkah selanjutnya saat memetakan berbagi berkas ke drive di mesin virtual.

CLI

Langkah-langkah yang diperlukan untuk membatasi akses jaringan ke sumber daya yang dibuat melalui layanan Azure, yang diaktifkan untuk titik akhir layanan akan bervariasi di seluruh layanan. Lihat dokumentasi untuk layanan individual untuk langkah-langkah spesifik untuk setiap layanan. Bagian lainnya dari artikel ini menyertakan langkah-langkah untuk membatasi akses jaringan ke akun Microsoft Azure Storage, sebagai contoh.

Buat akun penyimpanan

1. Membuat akun penyimpanan Azure dengan az storage account create. Ganti <replace-with-your-unique-storage-account-name> dengan nama yang unik di semua lokasi Azure, dengan panjang antara 3-24 karakter, hanya dengan menggunakan angka dan huruf kecil.

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. Setelah akun penyimpanan dibuat, ambil string koneksi untuk akun penyimpanan ke dalam variabel dengan az storage account show-connection-string. String koneksi digunakan untuk membuat berbagi file di langkah selanjutnya.

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

Penting

Microsoft menyarankan agar Anda menggunakan alur autentikasi paling aman yang tersedia. Alur autentikasi yang dijelaskan dalam prosedur ini membutuhkan tingkat kepercayaan yang sangat tinggi pada aplikasi, dan membawa risiko yang tidak ada dalam alur lain. Anda hanya boleh menggunakan alur ini ketika alur lain yang lebih aman, seperti identitas terkelola, tidak layak.

Untuk informasi selengkapnya tentang menyambungkan ke akun penyimpanan menggunakan identitas terkelola, lihat Menggunakan identitas terkelola untuk mengakses Azure Storage.

Membuat berbagi file di akun penyimpanan

Portal

1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

2. Di Akun penyimpanan, pilih akun penyimpanan yang Anda buat di langkah sebelumnya.

3. Di Penyimpanan data, pilih Berbagi file.

4. Pilih + Berbagi file.

5. Masukkan atau pilih informasi berikut di Berbagi file baru:

   Pengaturan	Nilai
   Nama	Masukkan berkas berbagi.
   Tingkat	Biarkan Transaksi dioptimalkan sebagai default.

6. Pilih Berikutnya: Pencadangan.

7. Hapus centang Aktifkan pencadangan.

8. Pilih Tinjau + buat, lalu pilih Buat.

PowerShell

1. Membuat konteks untuk akun penyimpanan dan kunci Anda dengan New-AzStorageContext. Konteksnya merangkum nama akun penyimpanan dan kunci akun:

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Membuat berbagi file dengan New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

CLI

1. Buat berbagi file di akun penyimpanan dengan az storage share create. Pada langkah selanjutnya, berbagi file ini dipasang untuk mengonfirmasi akses jaringan ke file tersebut.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

Membatasi akses jaringan ke subnet

Portal

Secara default, akun penyimpanan menerima koneksi jaringan dari klien di jaringan apa pun, termasuk internet. Anda dapat membatasi akses jaringan dari internet, dan semua subnet lainnya di semua jaringan virtual (kecuali subnet privat di jaringan virtual vnet-1).

Untuk membatasi akses jaringan ke subnet:

1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

2. Pilih akun penyimpanan Anda.

3. Di Keamanan + jaringan, pilih Jaringan.

4. Di tab Firewall dan jaringan virtual, pilih Diaktifkan dari jaringan virtual dan alamat IP yang dipilih di Akses jaringan publik.

5. Di Jaringan virtual, pilih + Tambahkan jaringan virtual yang ada.

6. Di Tambahkan jaringan, masukkan atau pilih informasi berikut:

   Pengaturan	Nilai
   Langganan	Pilih langganan Anda.
   Jaringan virtual	Pilih vnet-1.
   Subnet	Pilih subnet-privat.

   

7. Pilih Tambahkan.

8. Pilih Simpan untuk menyimpan konfigurasi jaringan virtual.

PowerShell

1. Secara default, akun penyimpanan menerima koneksi jaringan dari klien di jaringan apa pun. Untuk membatasi akses ke jaringan yang dipilih, ubah tindakan default ke Tolak dengan Update-AzStorageAccountNetworkRuleSet. Setelah akses jaringan ditolak, akun penyimpanan tidak dapat diakses dari jaringan apa pun.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Ambil jaringan virtual yang dibuat dengan Get-AzVirtualNetwork kemudian ambil objek subnet privat ke dalam variabel dengan Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Izinkan akses jaringan ke akun penyimpanan dari subnet subnet-private dengan Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

CLI

1. Secara default, akun penyimpanan menerima koneksi jaringan dari klien di jaringan apa pun. Untuk membatasi akses ke jaringan yang dipilih, ubah tindakan default ke Tolak dengan pembaruan akun penyimpanan az. Setelah akses jaringan ditolak, akun penyimpanan tidak dapat diakses dari jaringan apa pun.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Izinkan akses jaringan ke akun penyimpanan dari subnet-private dengan az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Menyebarkan komputer virtual ke subnet

Portal

Untuk menguji akses jaringan ke akun penyimpanan, sebarkan komputer virtual ke setiap subnet.

Membuat komputer virtual pengujian

Prosedur berikut membuat mesin virtual pengujian (VM) bernama vm-1 di jaringan virtual.

1. Di portal, cari dan pilih Mesin virtual.

2. Di Mesin virtual, pilih + Buat, lalu mesin virtual Azure.

3. Di tab Dasar dari Buat mesin virtual, masukkan atau pilih informasi berikut ini:

   Pengaturan	Nilai
   Detail proyek
   Langganan	Pilih langganan Anda.
   Grup sumber daya	Pilih test-rg.
   Detil instance
   Nama komputer virtual	Masukkan vm-1.
   Wilayah	Pilih East US 2.
   Opsi ketersediaan	Pilih Tidak diperlukan redundansi infrastruktur.
   Jenis keamanan	Biarkan opsi default Standar.
   Gambar	Pilih Windows Server 2022 Datacenter - x64 Gen2.
   Arsitektur Mesin virtual	Biarkan tetap default x64.
   Ukuran	Pilih ukuran.
   Akun administrator
   Jenis autentikasi	Pilih Kata sandi.
   Nama Pengguna	Masukkan azureuser.
   Kata sandi	Masukkan kata sandi.
   Mengonfirmasikan kata sandi	Masukkan kembali sandi.
   Aturan port masuk
   Port masuk publik	Pilih Tidak ada.

4. Pilih tab Jaringan di bagian atas halaman.

5. Masukkan atau pilih informasi berikut di tab Jaringan:

   Pengaturan	Nilai
   Antarmuka jaringan
   Jaringan virtual	Pilih vnet-1.
   Subnet	Pilih subnet-1 (10.0.0.0/24).
   IP Publik	Pilih Tidak ada.
   kelompok keamanan jaringan NIC	Pilih Tingkat Lanjut.
   Mengonfigurasi grup keamanan jaringan	Pilih Buat baru. Masukkan nsg-1 untuk nama tersebut. Biarkan sisanya di default dan pilih OK.

6. Biarkan pengaturan lainnya di default dan pilih Tinjau + buat.

7. Tinjau pengaturan akhir, dan pilih Buat.

Catatan

Komputer virtual di jaringan virtual dengan host bastion tidak memerlukan alamat IP publik. Bastion menyediakan IP publik, dan VM menggunakan IP privat untuk berkomunikasi dalam jaringan. Anda dapat menghapus IP publik dari VM apa pun di jaringan virtual yang dihosting bastion. Untuk informasi selengkapnya, lihat Memisahkan alamat IP publik dari Azure VM.

Catatan

Azure menyediakan IP akses keluar default untuk VM yang tidak diberi alamat IP publik atau berada di pool backend dari Azure load balancer dasar yang bersifat internal. Mekanisme IP akses keluar default menyediakan alamat IP keluar yang tidak dapat dikonfigurasi.

IP akses keluar default dinonaktifkan saat salah satu peristiwa berikut terjadi:

• Alamat IP publik ditetapkan ke VM.
• VM ditempatkan di kumpulan backend penyeimbang beban standar, dengan atau tanpa aturan outbound.
• Sumber Azure NAT Gateway diatur ke dalam subnet VM.

VM yang Anda buat dengan menggunakan kumpulan skala mesin virtual dalam mode orkestrasi fleksibel tidak memiliki akses keluar default.

Untuk informasi selengkapnya tentang koneksi keluar di Azure, lihat Akses keluar default di Azure dan Menggunakan Terjemahan Alamat Jaringan Sumber (SNAT) untuk koneksi keluar.

Membuat komputer virtual kedua

1. Buat komputer virtual kedua yang mengulangi langkah-langkah di bagian sebelumnya. Ganti nilai berikut di Membuat komputer virtual:

   Pengaturan	Nilai
   Nama komputer virtual	Masukkan vm-private.
   Subnet	Pilih subnet-privat.
   IP Publik	Pilih Tidak ada.
   kelompok keamanan jaringan NIC	Pilih Tidak ada.

   Peringatan

   Jangan lanjutkan ke langkah berikutnya sampai penyebaran selesai.

PowerShell

Membuat komputer virtual pertama

Buat mesin virtual di subnet-public dengan New-AzVM. Saat menjalankan perintah berikut, Anda akan dimintai kredensial. Nilai yang Anda masukkan dikonfigurasi sebagai nama pengguna dan kata sandi untuk mesin virtual.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

Membuat komputer virtual kedua

Buat komputer virtual di subnet-pribadi :

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Untuk membuat komputer virtual, Azure membutuhkan waktu beberapa menit. Jangan lanjutkan ke langkah berikutnya sampai Azure selesai membuat VM dan mengembalikan output ke PowerShell.

CLI

Untuk menguji akses jaringan ke akun penyimpanan,sebarkan komputer virtual ke setiap subnet.

Membuat komputer virtual pertama

Buat VM di subnet subnet-public dengan az vm create. Jika tombol SSH belum ada di lokasi kunci default, perintah akan membuatnya. Untuk menggunakan set tombol tertentu, gunakan opsi --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

VM membutuhkan waktu beberapa menit untuk dibuat. Setelah mesin virtual (VM) dibuat, Azure CLI menampilkan informasi yang mirip dengan contoh berikut:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Membuat komputer virtual kedua

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

VM membutuhkan waktu beberapa menit untuk dibuat.

Mengonfirmasi akses ke akun penyimpanan

Portal

Komputer virtual yang Anda buat sebelumnya yang ditetapkan ke subnet-private digunakan untuk mengonfirmasi akses ke akun penyimpanan. Komputer virtual yang Anda buat di bagian sebelumnya dan ditetapkan ke subnet-1 digunakan untuk memastikan bahwa akses ke akun penyimpanan diblokir.

Mendapatkan kunci akses akun penyimpanan

1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

2. Di Akun penyimpanan, pilih akun penyimpanan Anda.

3. Di Keamanan + jaringan, pilih Kunci akses.

4. Salin nilai key1. Anda mungkin perlu memilih tombol Tampilkan untuk menampilkan kunci.

   

5. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

6. Pilih vm-private.

7. Pilih Bastion dalam Operasi.

8. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat komputer virtual. Pilih Sambungkan.

9. Buka Windows PowerShell. Gunakan skrip berikut untuk memetakan berbagi file Azure ke drive Z.

   • Ganti <storage-account-key> dengan kunci yang Anda salin di langkah sebelumnya.

   • Ganti <storage-account-name> dengan nama akun penyimpanan Anda. Dalam contoh ini, ini adalah storage8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell mengembalikan output yang mirip dengan contoh output berikut:

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   Berbagi file Azure berhasil dipetakan ke drive Z.

10. Tutup koneksi Bastion ke vm-private.

PowerShell

Komputer virtual yang Anda buat sebelumnya yang ditetapkan ke subnet-private digunakan untuk mengonfirmasi akses ke akun penyimpanan. Komputer virtual yang Anda buat di bagian sebelumnya dan ditetapkan ke subnet-1 digunakan untuk memastikan bahwa akses ke akun penyimpanan diblokir.

Mendapatkan kunci akses akun penyimpanan

1. Masuk ke portal Microsoft Azure.

2. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

3. Di Akun penyimpanan, pilih akun penyimpanan Anda.

4. Di Keamanan + jaringan, pilih Kunci akses.

5. Salin nilai key1. Anda mungkin perlu memilih tombol Tampilkan untuk menampilkan kunci.

   

6. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

7. Pilih vm-private.

8. Pilih Sambungkan lalu Sambungkan melalui Bastion di Gambaran Umum.

9. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat komputer virtual. Pilih Sambungkan.

10. Buka Windows PowerShell. Gunakan skrip berikut untuk memetakan berbagi file Azure ke drive Z.

    • Ganti <storage-account-key> dengan kunci yang Anda salin di langkah sebelumnya.

    • Ganti <storage-account-name> dengan nama akun penyimpanan Anda. Dalam contoh ini, ini adalah storage8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell mengembalikan output yang mirip dengan contoh output berikut:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    Berbagi file Azure berhasil dipetakan ke drive Z.

11. Pastikan bahwa komputer virtual tidak memiliki konektivitas keluar ke alamat IP publik lainnya:

    ping bing.com
    

    Anda tidak menerima balasan, karena grup keamanan jaringan yang terkait dengan subnet Privat tidak mengizinkan akses keluar ke alamat IP publik selain alamat yang ditetapkan ke layanan Azure Storage.

12. Tutup koneksi Bastion ke vm-private.

CLI

SSH ke dalam vm-private VM.

1. Jalankan perintah berikut untuk menyimpan alamat IP VM sebagai variabel lingkungan:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Buat folder untuk titik pemasangan.

   sudo mkdir /mnt/file-share
   

3. Kaitkan berbagi file Azure ke direktori yang Anda buat. Sebelum menjalankan perintah berikut, ganti <storage-account-name> dengan nama akun dan <storage-account-key>dengan kunci yang Anda ambil di Buat akun penyimpanan.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Anda menerima user@vm-private:~$ perintah. File share Azure berhasil dipasang ke /mnt/file-share.

4. Pastikan bahwa komputer virtual tidak memiliki konektivitas keluar ke alamat IP publik lainnya:

   ping bing.com -c 4
   

   Anda tidak menerima balasan, karena grup keamanan jaringan yang terkait dengan subnet privat tidak mengizinkan akses ke luar ke alamat IP publik selain alamat yang ditetapkan ke layanan Azure Storage.

5. Keluar dari sesi SSH ke VM vm-private.

Dikonfirmasi bahwa akses ditolak ke akun penyimpanan

Portal

Dari vm-1

1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

2. Pilih vm-1.

3. Pilih Bastion dalam Operasi.

4. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat komputer virtual. Pilih Sambungkan.

5. Ulangi perintah sebelumnya untuk mencoba memetakan drive ke berbagi file di akun penyimpanan. Anda mungkin perlu menyalin kunci akses akun penyimpanan lagi untuk prosedur ini:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Anda akan menerima pesan kesalahan berikut:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Tutup koneksi Bastion ke vm-1.

Dari komputer lokal

1. Di kotak pencarian di bagian atas portal, masukkan Akun penyimpanan. Pilih Akun penyimpanan di hasil pencarian.

2. Di Akun penyimpanan, pilih akun penyimpanan Anda.

3. Di Penyimpanan data, pilih Berbagi file.

4. Pilih file-share.

5. Pilih Telusuri di menu sebelah kiri.

6. Anda akan menerima pesan kesalahan berikut:

   

Catatan

Akses ditolak karena komputer Anda tidak berada di subnet-private subnet dari jaringan virtual vnet-1.

PowerShell

Dari vm-1

1. Di kotak pencarian di bagian atas portal, masukkan Jaringan virtual. Pilih Jaringan Virtual dalam hasil pencarian.

2. Pilih vm-1.

3. Pilih Bastion dalam Operasi.

4. Masukkan nama pengguna dan kata sandi yang Anda tentukan saat membuat komputer virtual. Pilih Sambungkan.

5. Ulangi perintah sebelumnya untuk mencoba memetakan drive ke berbagi file di akun penyimpanan. Anda mungkin perlu menyalin kunci akses akun penyimpanan lagi untuk prosedur ini:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Anda akan menerima pesan kesalahan berikut:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Tutup koneksi Bastion ke vm-1.

8. Dari komputer Anda, coba tampilkan berbagi file di akun penyimpanan dengan perintah berikut:

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Akses ditolak. Anda menerima output yang mirip dengan contoh berikut.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Komputer Anda tidak berada di subnet-privat dari jaringan virtual vnet-1.

CLI

SSH ke VM vm-public .

1. Jalankan perintah berikut untuk menyimpan alamat IP VM sebagai variabel lingkungan:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Buat direktori untuk titik kait:

   sudo mkdir /mnt/file-share
   

3. Cobalah memasang sistem berbagi berkas Azure ke direktori yang Anda buat. Artikel ini mengasumsikan Anda menyebarkan Ubuntu versi terbaru. Jika Anda menggunakan versi Ubuntu yang lebih lama, lihat Memasang di Linux untuk instruksi selengkapnya tentang memasang berbagi file. Sebelum menjalankan perintah berikut, ganti <storage-account-name> dengan nama akun dan <storage-account-key>dengan kunci yang Anda ambil di Membuat akun penyimpanan:

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Akses ditolak, dan Anda menerima mount error(13): Permission denied kesalahan, karena vm-public VM disebarkan dalam subnet-public subnet. subnet publik tidak memiliki titik akhir layanan yang diaktifkan untuk Azure Storage, dan akun penyimpanan hanya mengizinkan akses jaringan dari subnet privat, bukan dari subnet publik.

4. Keluar dari sesi SSH pada VM vm-public.

5. Dari komputer Anda, coba melihat daftar berbagi di akun penyimpanan Anda dengan az storage share list. Mengganti <account-name> dan <account-key>dengan nama akun penyimpanan dan kunci dari Membuat akun penyimpanan:

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   Akses ditolak dan Anda menerima kesalahan Permintaan ini tidak berwenang untuk melakukan operasi ini, karena komputer Anda tidak berada di subnet privat jaringan virtual vnet-1.

Portal

Setelah selesai menggunakan sumber daya yang Anda buat, Anda dapat menghapus grup sumber daya dan semua sumber dayanya.

1. Di portal Microsoft Azure, cari dan pilih Grup sumber daya.

2. Pada halaman Grup sumber daya, pilih grup sumber daya test-rg .

3. Pada halaman test-rg , pilih Hapus grup sumber daya.

4. Masukkan test-rg di Masukkan nama grup sumber daya untuk mengonfirmasi penghapusan, lalu pilih Hapus.

PowerShell

Jika tidak lagi dibutuhkan, Anda dapat menggunakan Remove-AzResourceGroup untuk menghapus grup sumber daya dan semua sumber daya yang terkandung di dalamnya:

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

CLI

Membersihkan sumber daya

Jika tidak lagi dibutuhkan, gunakan hapus grup az untuk menghapus grup sumber daya dan semua sumber daya di dalamnya.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Langkah berikutnya

Dalam tutorial ini:

• Anda mengaktifkan titik akhir layanan untuk subnet jaringan virtual.

• Anda belajar bahwa Anda dapat mengaktifkan titik akhir layanan untuk sumber daya yang didistribusikan dari beberapa layanan Azure.

• Anda membuat akun Azure Storage dan membatasi akses jaringan ke akun penyimpanan hanya untuk sumber daya dalam subnet jaringan virtual.

Untuk mempelajari selengkapnya tentang titik akhir layanan, lihat Ringkasan titik akhir layanan dan Mengelola subnet.

Jika Anda memiliki beberapa jaringan virtual di akun Anda, Anda mungkin ingin membangun konektivitas di antara mereka sehingga sumber daya dapat berkomunikasi satu sama lain. Untuk mempelajari cara menghubungkan jaringan virtual, lanjutkan ke tutorial berikutnya.

Menyambungkan jaringan virtual