Condividi tramite

Avvio rapido: Creare un endpoint privato con il portale di Azure

  • Articolo

Introduzione al collegamento privato di Azure, che consente di connettersi in modo sicuro a un'app Web di Azure creando e usando un endpoint privato.

In questa guida di avvio rapido, creare un endpoint privato per un'app Web di Servizi app di Azure, quindi creare e distribuire una macchina virtuale per testare la connessione privata.

È possibile creare endpoint privati per vari servizi di Azure, ad esempio Azure SQL e Archiviazione di Azure.

Diagramma delle risorse create nella guida di avvio rapido all'endpoint privato.

Prerequisiti

  • Un account Azure con una sottoscrizione attiva. Se non si ha già un account Azure, è possibile crearne uno gratuitamente.

  • Un'app Web di Servizi app di Azure con un piano di servizio app Basic, Standard, PremiumV2, PremiumV3, IsolatedV2, Premium di Funzioni (a volte chiamato anche piano Premium elastico), distribuito nella sottoscrizione di Azure.

Accedere ad Azure

Accedere al portale di Azure.

Creare una rete virtuale e un host Azure Bastion

La procedura seguente consente di creare una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:

  1. Nel portale cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo.
    Immettere test-rg per il nome.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere vnet-1.
    Paese Selezionare Stati Uniti orientali 2.

    Screenshot della scheda Informazioni di base per la creazione di una rete virtuale nel portale di Azure.

  4. Selezionare Avanti per passare alla scheda Sicurezza.

  5. Nella sezione Azure Bastion, selezionare Abilita Azure Bastion.

    Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.

    Nota

    La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

  6. In Azure Bastion immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Nome host Azure Bastion Immettere bastion.
    Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
    Immettere public-ip-bastion in Nome.
    Selezionare OK.

    Screenshot delle opzioni per abilitare un host Azure Bastion come parte della creazione di una rete virtuale nel portale di Azure.

  7. Selezionare Avanti per passare alla scheda Indirizzi IP.

  8. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

  9. In Modifica subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Scopo della subnet Lasciare l'impostazione predefinita Predefinito.
    Nome Immettere subnet-1.
    IPv4
    Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16.
    Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0.
    Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi).

    Screenshot dei dettagli di configurazione per una subnet.

  10. Seleziona Salva.

  11. Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.

Creare un endpoint privato

Successivamente, viene creato un endpoint privato per l'app Web creata nella sezione Prerequisiti.

Importante

Per procedere con i passaggi descritti in questo articolo, è necessario disporre di un'app Web di Servizi app di Azure distribuita in precedenza. Per altre informazioni, consulta Prerequisiti.

  1. Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati.

  2. Selezionare + Crea in Endpoint privati.

  3. Nella scheda Informazioni di base di Crea un endpoint privato immettere o selezionare le informazioni seguenti.

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg
    Dettagli istanza
    Nome Immettere private-endpoint.
    Nome interfaccia di rete Lasciare l'impostazione predefinita di endpoint-privato-nic.
    Paese Selezionare Stati Uniti orientali 2.

  4. Selezionare Avanti: Risorsa.

  5. Nel riquadro Risorsa immettere o selezionare le informazioni seguenti.

    Impostazione Valore
    Metodo di connessione Lasciare il valore predefinito di Connettersi a una risorsa di Azure nella directory.
    Subscription Selezionare la propria sottoscrizione.
    Tipo di risorsa Selezionare Microsoft.Web/sites.
    Conto risorse Selezionare webapp-1.
    Sottorisorsa di destinazione Selezionare siti.

  6. Selezionare Avanti: Rete virtuale.

  7. In Rete virtuale, immettere o selezionare le informazioni seguenti.

    Impostazione Valore
    Networking
    Rete virtuale Selezionare vnet-1 (test-rg).
    Subnet Selezionare subnet-1.
    Criteri di rete per gli endpoint privati Selezionare modificare per applicare i criteri di rete per gli endpoint privati.
    In Modifica criteri di rete subnet, selezionare la casella di controllo accanto a Gruppi di sicurezza di rete e Tabelle di route nel menu a discesa Impostazione criteri di rete per tutti gli endpoint privati in questa subnet.
    Selezionare Salva.

    Per altre informazioni, vedere Gestire i criteri di rete per gli endpoint privati
    Impostazione Valore
    Configurazione IP privato Selezionare Allocare dinamicamente gli indirizzi IP.

    Screenshot della selezione dinamica degli indirizzi IP.

  8. Selezionare Avanti: DNS.

  9. Lasciare le impostazioni predefinite in DNS. Selezionare Avanti: Tag, quindi Avanti: Rivedi e crea.

  10. Seleziona Crea.

Creare una macchina virtuale di test

La procedura seguente crea nella rete virtuale una macchina virtuale di test denominata vm-1.

  1. Nel portale, cercare e selezionare Macchine virtuali.

  2. In Macchine virtuali, selezionare + Crea, quindi Macchina virtuale di Azure.

  3. Nella scheda Informazioni di base di Crea una macchina virtuale, immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-1.
    Paese Selezionare Stati Uniti orientali 2.
    Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Lasciare l'impostazione predefinita Standard.
    Immagine Selezionare Windows Server 2022 Datacenter - x64 Gen2.
    Architettura della macchina virtuale Lasciare il valore predefinito x64.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Tipo di autenticazione selezionare Password.
    Username digitare azureuser.
    Password Immettere una password.
    Conferma password Immettere nuovamente la password.
    Regole porta in ingresso
    Porte in ingresso pubbliche Selezionare Nessuno.

  4. Selezionare la scheda Rete, nella parte superiore della pagina.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-1 (10.0.0.0/24).
    IP pubblico Selezionare Nessuno.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate.
    Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
    Immettere nsg-1 per il nome.
    Lasciare invariate le impostazioni predefinite e selezionare OK.

  6. Lasciare invariate le impostazioni predefinite e selezionare Rivedi e crea.

  7. Rivedere le impostazioni e selezionare Crea.

Nota

Le macchine virtuali in una rete virtuale con un host Bastion non necessitano di indirizzi IP pubblici. Bastion fornisce l'indirizzo IP pubblico e le macchine virtuali usano indirizzi IP privati per comunicare all'interno della rete. È possibile rimuovere gli indirizzi IP pubblici da qualsiasi macchina virtuale in reti virtuali ospitate da Bastion. Per altre informazioni, vedere Annullare l'associazione di un indirizzo IP pubblico da una macchina virtuale di Azure.

Nota

Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.

L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.

Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Testare la connettività con l'endpoint privato

Usare la macchina virtuale creata in precedenza per connettersi all'app Web tramite l'endpoint privato.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali.

  2. Selezionare vm-1.

  3. Nella pagina di panoramica di vm-1 selezionare Connetti, quindi selezionare la scheda Bastion.

  4. Selezionare Usa Bastion.

  5. Immettere il nome utente e la password usati al momento della creazione della macchina virtuale.

  6. Selezionare Connetti.

  7. Dopo aver stabilito la connessione, aprire PowerShell nel server.

  8. Immetti nslookup webapp-1.azurewebsites.net. Verrà visualizzato un messaggio simile all’esempio seguente:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp-1.privatelink.azurewebsites.net
Address:  10.0.0.10
Aliases:  webapp-1.azurewebsites.net

    Viene restituito un indirizzo IP privato di 10.0.0.10 per il nome dell'app Web se è stato scelto l'indirizzo IP statico nei passaggi precedenti. Questo indirizzo si trova nella subnet della rete virtuale creata in precedenza.

  9. Nella connessione bastion a vm-1, aprire il Web browser.

  10. Immettere l'URL dell'app Web, https://webapp-1.azurewebsites.net.

    Se l'app Web non è stata distribuita, viene visualizzata la seguente pagina dell'app Web predefinita:

    Screenshot della pagina dell'app Web predefinita in un browser.

  11. Chiudere la connessione a vm-1.

Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.

  1. Accedere al portale di Azure e selezionare Gruppi di risorse.

  2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

  3. Nella pagina test-rg selezionare Elimina gruppo di risorse.

  4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

Passaggi successivi

In questo argomento di avvio rapido sono stati creati questi componenti:

  • Una rete virtuale e un host bastion

  • Una macchina virtuale

  • Un endpoint privato per un'app Web di Azure

La macchina virtuale è stata usata per testare la connettività all'app Web tramite l'endpoint privato.

Per altre informazioni sui servizi che supportano endpoint privati, vedere:

Che cos'è Collegamento privato di Azure?