Tutorial: Connettersi a un account di archiviazione con un endpoint privato di Azure
Un endpoint privato di Azure è il blocco costitutivo fondamentale del collegamento privato in Azure. Consente alle risorse di Azure, come le macchine virtuali, di comunicare privatamente e in modo sicuro con le risorse di collegamento privato, ad esempio Archiviazione di Azure.
In questa esercitazione apprenderai a:
- Creare una rete virtuale e un host bastion.
- Creare un account di archiviazione e disabilitare l'accesso pubblico.
- Creare un endpoint privato per l'account di archiviazione.
- Creare una macchina virtuale.
- Testare la connettività con l'endpoint privato dell'account di archiviazione.
Prerequisiti
- Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Accedere ad Azure
Accedere al portale di Azure.
Creare una rete virtuale e un host Azure Bastion
La procedura seguente consente di creare una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:
Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo.
Immettere test-rg per il nome.
Selezionare OK.Dettagli istanza Nome Immettere vnet-1. Paese Selezionare Stati Uniti orientali 2. 
Selezionare Avanti per passare alla scheda Sicurezza.
Nella sezione Azure Bastion, selezionare Abilita Azure Bastion.
Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.
In Azure Bastion immettere o selezionare le informazioni seguenti:
Impostazione Valore Nome host Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
Immettere public-ip-bastion in Nome.
Selezionare OK.
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-1. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0. Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi). 
Seleziona Salva.
Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.
Creare un account di archiviazione
Creare un account di Archiviazione di Azure per i passaggi descritti in questo articolo. Se si ha già un account di archiviazione, è possibile usarlo.
Nella casella di ricerca nella parte superiore del portale, immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base della pagina Crea un account di archiviazione, immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli del progetto Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome account di archiviazione Immettere storage1. Se il nome non è disponibile, immetterne un altro univoco. Ufficio Selezionare (Stati Uniti) Stati Uniti orientali 2. Prestazioni Lasciare l'impostazione predefinita Standard. Ridondanza Selezionare Archiviazione con ridondanza locale. Seleziona Esamina.
Seleziona Crea.
Disabilitare l'accesso pubblico all'account di archiviazione
Prima di creare l'endpoint privato, è consigliabile disabilitare l'accesso pubblico all'account di archiviazione. Usare la procedura seguente per disabilitare l'accesso pubblico all'account di archiviazione.
Nella casella di ricerca nella parte superiore del portale immettere Account di archiviazione. Selezionare Account di archiviazione, nei risultati della ricerca.
Selezionare storage1 o il nome dell'account di archiviazione esistente.
In Sicurezza e rete selezionare Rete.
Nella scheda Firewall e reti virtuali in Accesso alla rete pubblicaselezionare Disabilitato.
Seleziona Salva.
Creare un endpoint privato
Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati.
Selezionare + Crea in Endpoint privati.
Nella scheda Informazioni di base di Crea un endpoint privato immettere o selezionare le informazioni seguenti.
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg Dettagli istanza Nome Immettere private-endpoint. Nome interfaccia di rete Lasciare l'impostazione predefinita di endpoint-privato-nic. Paese Selezionare Stati Uniti orientali 2. Selezionare Avanti: Risorsa.
Nel riquadro Risorsa immettere o selezionare le informazioni seguenti.
Impostazione Valore Metodo di connessione Lasciare il valore predefinito di Connettersi a una risorsa di Azure nella directory. Subscription Selezionare la propria sottoscrizione. Tipo di risorsa Selezionare Microsoft.Storage/storageAccounts. Conto risorse Selezionare storage-1 o l'account di archiviazione. Sottorisorsa di destinazione Selezionare il servizio di archiviazione BLOB. Selezionare Avanti: Rete virtuale.
In Rete virtuale, immettere o selezionare le informazioni seguenti.
Impostazione Valore Networking Rete virtuale Selezionare vnet-1 (test-rg). Subnet Selezionare subnet-1. Criteri di rete per gli endpoint privati Selezionare modificare per applicare i criteri di rete per gli endpoint privati.
In Modifica criteri di rete subnet, selezionare la casella di controllo accanto a Gruppi di sicurezza di rete e Tabelle di route nel menu a discesa Impostazione criteri di rete per tutti gli endpoint privati in questa subnet.
Selezionare Salva.
Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privatiImpostazione Valore Configurazione IP privato Selezionare Allocare dinamicamente gli indirizzi IP. 
Selezionare Avanti: DNS.
Lasciare le impostazioni predefinite in DNS. Selezionare Avanti: Tag, quindi Avanti: Rivedi e crea.
Seleziona Crea.
Creare una macchina virtuale di test
La procedura seguente crea nella rete virtuale una macchina virtuale di test denominata vm-1.
Nel portale, cercare e selezionare Macchine virtuali.
In Macchine virtuali, selezionare + Crea, quindi Macchina virtuale di Azure.
Nella scheda Informazioni di base di Crea una macchina virtuale, immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-1. Paese Selezionare Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Lasciare l'impostazione predefinita Standard. Immagine Selezionare Windows Server 2022 Datacenter - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username digitare azureuser. Password Immettere una password. Conferma password Immettere nuovamente la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare la scheda Rete, nella parte superiore della pagina.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-1 (10.0.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Immettere nsg-1 per il nome.
Lasciare invariate le impostazioni predefinite e selezionare OK.Lasciare invariate le impostazioni predefinite e selezionare Rivedi e crea.
Rivedere le impostazioni e selezionare Crea.
Nota
Le macchine virtuali in una rete virtuale con un host Bastion non necessitano di indirizzi IP pubblici. Bastion fornisce l'indirizzo IP pubblico e le macchine virtuali usano indirizzi IP privati per comunicare all'interno della rete. È possibile rimuovere gli indirizzi IP pubblici da qualsiasi macchina virtuale in reti virtuali ospitate da Bastion. Per altre informazioni, vedere Annullare l'associazione di un indirizzo IP pubblico da una macchina virtuale di Azure.
Nota
Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.
L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:
- Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
- La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
- Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.
Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.
Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.
Chiave di accesso alle risorse di archiviazione
La chiave di accesso all'archiviazione è necessaria per i passaggi successivi. Passare all'account di archiviazione creato in precedenza e copiare la stringa di connessione con la chiave di accesso per l'account di archiviazione.
Nella casella di ricerca nella parte superiore del portale immettere Account di archiviazione. Selezionare Account di archiviazione nei risultati della ricerca.
Selezionare l'account di archiviazione creato nei passaggi precedenti i o nell'account di archiviazione esistente.
Nella sezione Sicurezza e rete dell'account di archiviazione selezionare Chiavi di accesso.
Selezionare Mostra, quindi selezionare Copia nella stringa di connessione per key1.
Aggiungere un contenitore BLOB
Nella casella di ricerca nella parte superiore del portale immettere Account di archiviazione. Selezionare Account di archiviazione nei risultati della ricerca.
Selezionare l'account di archiviazione creato nei passaggi precedenti.
Nella sezione Archiviazione dati selezionare Contenitori.
Selezionare + Contenitore per creare un nuovo contenitore.
Immettere contenitore in nome e selezionare Privato (nessun accesso anonimo) in Livello di accesso pubblico.
Seleziona Crea.
Testare la connettività con l'endpoint privato
In questa sezione si usa la macchina virtuale creata nel passaggio precedente per connettersi all'account di archiviazione tramite l'endpoint privato usando Microsoft Azure Storage Explorer.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-1.
In Operazioni selezionare Bastion.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale.
Selezionare Connetti.
Aprire Windows PowerShell nel server dopo la connessione.
Immetti
nslookup <storage-account-name>.blob.core.windows.net. Sostituire <storage-account-name> con il nome dell'account di archiviazione creato nei passaggi precedenti. Nell'esempio seguente viene illustrato l'output del comando.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.netPer il nome dell'account di archiviazione viene restituito l'indirizzo IP privato 10.0.0.10. Questo indirizzo si trova in subnet-1 subnet di rete virtuale vnet-1 creata in precedenza.
Installare Microsoft Azure Storage Explorer nella macchina virtuale.
Selezionare Fine dopo aver installato Microsoft Azure Storage Explorer. Lasciare selezionata la casella per aprire l'applicazione.
Selezionare il simbolo di alimentazione per aprire la finestra di dialogo Seleziona risorsa nella barra degli strumenti a sinistra.
In Selezionare risorsa selezionare Account di archiviazione o del servizio per aggiungere una connessione in Microsoft Azure Storage Explorer all'account di archiviazione creato nei passaggi precedenti.
Nella schermata Seleziona metodo di connessione selezionare Stringa di connessionee quindi Avanti.
Nella casella sotto Stringa di connessione incollare la stringa di connessione dell'account di archiviazione copiata nei passaggi precedenti. Il nome dell'account di archiviazione viene popolato automaticamente nella casella in Nome visualizzato.
Selezionare Avanti.
Verificare se le impostazioni sono corrette in Riepilogo.
Seleziona Connetti
Selezionare l'account di archiviazione dagli Account di archiviazione nel menu Explorer.
Espandere l'account di archiviazione e quindi i contenitori BLOB.
Viene visualizzato il contenitore creato in precedenza.
Chiudere la connessione a vm-1.
Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.
Passaggi successivi
In questa esercitazione sono state illustrate le procedure per:
Una rete virtuale e un host bastion.
Una macchina virtuale.
Account di archiviazione e un contenitore.
Informazioni su come connettersi a un account Azure Cosmos DB tramite endpoint privato di Azure: