Esercitazione: Limitare l'accesso di rete alle risorse PaaS con gli endpoint servizio di rete virtuale usando il portale di Azure
Gli endpoint servizio di rete virtuale consentono di limitare l'accesso di rete ad alcune risorse dei servizi di Azure a una subnet della rete virtuale. È anche possibile rimuovere l'accesso Internet alle risorse. Gli endpoint di servizio forniscono la connessione diretta dalla rete virtuale ai servizi di Azure supportati, consentendo di usare lo spazio indirizzi privato della rete virtuale per accedere ai servizi di Azure. Il traffico destinato alle risorse di Azure tramite gli endpoint di servizio rimane sempre nella rete backbone di Microsoft Azure.
In questa esercitazione apprenderai a:
- Creare una rete virtuale con una subnet
- Aggiungere una subnet e abilitare un endpoint di servizio
- Creare una risorsa di Azure e consentire l'accesso di rete alla risorsa da una sola subnet
- Distribuire una macchina virtuale (VM) in ogni subnet
- Verificare che venga consentito l'accesso a una risorsa da una subnet
- Verificare che venga rifiutato l'accesso a una risorsa da una subnet e da Internet
Questa esercitazione usa il portale di Azure. È anche possibile completarla usando l'interfaccia della riga di comando di Azure o PowerShell.
Prerequisiti
- Un account Azure con una sottoscrizione attiva. Crearne una gratuitamente.
Accedere ad Azure
Accedere al portale di Azure.
Creare una rete virtuale e un host Azure Bastion
La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:
Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo. Immettere test-rg come nome. Selezionare OK. Dettagli istanza Nome Immettere vnet-1. Paese Selezionare Stati Uniti orientali 2. Selezionare Avanti per passare alla scheda Sicurezza .
Nella sezione Azure Bastion selezionare Abilita Bastion.
Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite Secure Shell (SSH) o Remote Desktop Protocol (RDP) usando i propri indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazione speciale. Per altre informazioni, vedere Informazioni su Azure Bastion.
In Azure Bastion immettere o selezionare le informazioni seguenti:
Impostazione Valore Nome host Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico. Immettere public-ip-bastion in Nome. Selezionare OK. Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare il valore predefinito Predefinito. Nome Immettere subnet-1. Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0. Dimensioni della subnet Lasciare il valore predefinito / 24 (256 indirizzi). Seleziona Salva.
Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.
Abilitare un endpoint di servizio
Gli endpoint di servizio sono abilitati per servizio e per subnet.
Nella casella di ricerca nella parte superiore della pagina del portale cercare Rete virtuale. Selezionare Reti virtuali nei risultati della ricerca.
In Reti virtuali selezionare vnet-1.
Nella sezione Impostazioni di vnet-1 selezionare Subnet.
Selezionare + Subnet.
Nella pagina Aggiungi subnet immettere o selezionare le informazioni seguenti:
Impostazione valore Nome subnet-private Intervallo di indirizzi subnet Lasciare il valore predefinito 10.0.2.0/24. ENDPOINT EDIZIONE STANDARD RVICE Servizi Selezionare Microsoft.Storage Seleziona Salva.
Attenzione
Prima di abilitare un endpoint di servizio per una subnet esistente che contiene risorse, vedere Cambiare le impostazioni della subnet.
Limitare l'accesso di rete per una subnet
Per impostazione predefinita, tutte le istanze di macchina virtuale in una subnet possono comunicare con qualsiasi risorsa. È possibile limitare le comunicazioni verso e da tutte le risorse in una subnet creando un gruppo di sicurezza di rete e associandolo alla subnet.
Nella casella di ricerca nella parte superiore della pagina del portale cercare Gruppo di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.
In Gruppi di sicurezza di rete selezionare + Crea.
Nella scheda Informazioni di base di Crea gruppo di sicurezza di rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere nsg-storage. Paese Selezionare Stati Uniti orientali 2. Selezionare Rivedi e crea e quindi Crea.
Creare regole del gruppo di sicurezza di rete in uscita
Nella casella di ricerca nella parte superiore della pagina del portale cercare Gruppo di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.
Selezionare nsg-storage.
Selezionare Regole di sicurezza in uscita in Impostazioni.
Seleziona + Aggiungi.
Creare una regola che consenta le comunicazioni in uscita al servizio Archiviazione di Azure. Immettere o selezionare le informazioni seguenti in Aggiungi regola di sicurezza in uscita:
Impostazione Valore Origine selezionare Tag del servizio. Tag del servizio di origine Seleziona VirtualNetwork. Intervalli porte di origine Lasciare l'impostazione predefinita .* Destinazione selezionare Tag del servizio. Tag del servizio di destinazione Selezionare Archiviazione. Service Lasciare l'impostazione predefinita Personalizzata. Intervalli porte di destinazione Immettere 445. Il protocollo SMB viene usato per connettersi a una condivisione file creata in un passaggio successivo. Protocollo selezionare Tutti. Azione Seleziona Consenti. Priorità Lasciare il valore predefinito 100. Nome Immettere allow-storage-all. Seleziona + Aggiungi.
Creare un'altra regola di sicurezza in uscita che neghi la comunicazione in Internet. Questa regola esegue l'override di una regola predefinita in tutti i gruppi di sicurezza di rete che consente le comunicazioni Internet in uscita. Completare i passaggi precedenti con i valori seguenti in Aggiungere una regola di sicurezza in uscita:
Impostazione Valore Origine selezionare Tag del servizio. Tag del servizio di origine Seleziona VirtualNetwork. Intervalli porte di origine Lasciare l'impostazione predefinita .* Destinazione selezionare Tag del servizio. Tag del servizio di destinazione selezionare Internet. Service Lasciare l'impostazione predefinita Personalizzata. Intervalli porte di destinazione Immetti *. Protocollo selezionare Tutti. Azione Seleziona Nega. Priorità Lasciare il valore predefinito 110. Nome Immettere deny-internet-all. Selezionare Aggiungi.
Associare il gruppo di sicurezza di rete a una subnet
Nella casella di ricerca nella parte superiore della pagina del portale cercare Gruppo di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.
Selezionare nsg-storage.
Selezionare Subnet in Impostazioni.
Selezionare + Associa.
In Associa subnet selezionare vnet-1 in Rete virtuale. Selezionare subnet-private in Subnet.
Seleziona OK.
Limitare l'accesso di rete a una risorsa
I passaggi necessari per limitare l'accesso di rete alle risorse create tramite i servizi di Azure, che sono abilitati per gli endpoint di servizio variano in base ai servizi. Vedere la documentazione relativa ai singoli servizi per i passaggi specifici. La parte restante di questa esercitazione include passaggi per limitare l'accesso alla rete per un account Archiviazione di Azure, ad esempio.
Creare un account di archiviazione
Creare un account Archiviazione di Azure per i passaggi descritti in questo articolo. Se si ha già un account di archiviazione, è possibile usarlo.
Nella casella di ricerca nella parte superiore del portale immettere Archiviazione account. Selezionare Archiviazione account nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base di Creare un account di archiviazione immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli del progetto Abbonamento Seleziona la tua sottoscrizione di Azure. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome account di archiviazione Immettere storage1. Se il nome non è disponibile, immetterne un altro univoco. Ufficio Selezionare (Stati Uniti) Stati Uniti orientali 2. Prestazioni Lasciare l'impostazione predefinita Standard. Ridondanza Selezionare Archiviazione con ridondanza locale. Seleziona Esamina.
Seleziona Crea.
Creare una condivisione file nell'account di archiviazione
Nella casella di ricerca nella parte superiore del portale immettere Archiviazione account. Selezionare Archiviazione account nei risultati della ricerca.
In Archiviazione account selezionare l'account di archiviazione creato nel passaggio precedente.
In Archiviazione dati selezionare Condivisioni file.
Selezionare + Condivisione file.
Immettere o selezionare le informazioni seguenti in Nuova condivisione file:
Impostazione valore Nome Immettere la condivisione file. Livello Lasciare l'impostazione predefinita Ottimizzata per le transazioni. Selezionare Avanti: Backup.
Deselezionare Abilita backup.
Selezionare Rivedi e crea e quindi Crea.
Limitare l'accesso di rete a una subnet
Per impostazione predefinita, gli account di archiviazione accettano connessioni di rete dai client in qualsiasi rete, inclusa la rete Internet. È possibile limitare l'accesso alla rete da Internet e tutte le altre subnet in tutte le reti virtuali ,ad eccezione della subnet privata della subnet nella rete virtuale vnet-1.
Per limitare l'accesso di rete a una subnet:
Nella casella di ricerca nella parte superiore del portale immettere Archiviazione account. Selezionare Archiviazione account nei risultati della ricerca.
Selezionare l'account di archiviazione.
In Sicurezza e rete selezionare Rete.
Nella scheda Firewall e reti virtuali selezionare Abilitato nelle reti virtuali e negli indirizzi IP selezionati in Accesso alla rete pubblica.
In Reti virtuali selezionare + Aggiungi rete virtuale esistente.
In Aggiungi reti immettere o selezionare le informazioni seguenti:
Impostazione Valore Subscription Selezionare la propria sottoscrizione. Reti virtuali Selezionare vnet-1. Subnet Selezionare subnet-private. Selezionare Aggiungi.
Selezionare Salva per salvare le configurazioni della rete virtuale.
Creare macchine virtuali
Per testare l'accesso alla rete a un account di archiviazione, distribuire una macchina virtuale in ogni subnet.
Creare una macchina virtuale di test
La procedura seguente crea una macchina virtuale di test denominata vm-1 nella rete virtuale.
Nel portale cercare e selezionare Macchine virtuali.
In Macchine virtuali selezionare + Crea e quindi macchina virtuale di Azure.
Nella scheda Informazioni di base di Crea una macchina virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-1. Paese Selezionare Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Lasciare l'impostazione predefinita Standard. Immagine Selezionare Windows Server 2022 Datacenter - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username digitare azureuser. Password Immettere una password. Conferma password Immettere nuovamente la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare la scheda Rete nella parte superiore della pagina.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-1 (10.0.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo. Immettere nsg-1 come nome. Lasciare invariati i valori predefiniti e selezionare OK. Lasciare invariate le impostazioni predefinite e selezionare Rivedi e crea.
Rivedere le impostazioni e selezionare Crea.
Nota
Le macchine virtuali in una rete virtuale con un bastion host non necessitano di indirizzi IP pubblici. Bastion fornisce l'indirizzo IP pubblico e le macchine virtuali usano indirizzi IP privati per comunicare all'interno della rete. È possibile rimuovere gli indirizzi IP pubblici da qualsiasi macchina virtuale in reti virtuali ospitate bastion. Per altre informazioni, vedere Annullare l'dissociazione di un indirizzo IP pubblico da una macchina virtuale di Azure.
Nota
Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.
L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:
- Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
- La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
- Una risorsa gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.
Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.
Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.
Creare la seconda macchina virtuale
Ripetere i passaggi nella sezione precedente per creare una seconda macchina virtuale. Sostituire i valori seguenti in Creare una macchina virtuale:
Impostazione Valore Virtual machine name Immettere vm-private. Subnet Selezionare subnet-private. IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Selezionare Nessuno. Avviso
Non continuare con il passaggio successivo fino al completamento della distribuzione.
Verificare che venga consentito l'accesso a un account di archiviazione
La macchina virtuale creata in precedenza assegnata alla subnet privata della subnet viene usata per confermare l'accesso all'account di archiviazione. La macchina virtuale creata nella sezione precedente assegnata alla subnet-1 viene usata per verificare che l'accesso all'account di archiviazione sia bloccato.
Ottenere la chiave di accesso dell'account di archiviazione
Nella casella di ricerca nella parte superiore del portale immettere Archiviazione account. Selezionare Archiviazione account nei risultati della ricerca.
In Archiviazione account selezionare l'account di archiviazione.
In Sicurezza e rete selezionare Chiavi di accesso.
Copiare il valore di key1. Potrebbe essere necessario selezionare il pulsante Mostra per visualizzare la chiave.
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-private.
Selezionare Bastion in Operazioni.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale. Selezionare Connetti.
Apri Windows PowerShell. Usare lo script seguente per eseguire il mapping della condivisione file di Azure all'unità Z.
Sostituire
<storage-account-key>
con la chiave copiata nel passaggio precedente.Sostituire
<storage-account-name>
con il nome del proprio account di archiviazione. In questo esempio è storage8675.
$key = @{ String = "<storage-account-key>" } $acctKey = ConvertTo-SecureString @key -AsPlainText -Force $cred = @{ ArgumentList = "Azure\<storage-account-name>", $acctKey } $credential = New-Object System.Management.Automation.PSCredential @cred $map = @{ Name = "Z" PSProvider = "FileSystem" Root = "\\<storage-account-name>.file.core.windows.net\file-share" Credential = $credential } New-PSDrive @map
L'output restituito da PowerShell è simile all'output di esempio seguente:
Name Used (GB) Free (GB) Provider Root ---- --------- --------- -------- ---- Z FileSystem \\storage8675.file.core.windows.net\f...
Il mapping della condivisione file di Azure all'unità Z è stato eseguito correttamente.
Chiudere la connessione Bastion a vm-private.
Verificare che venga rifiutato l'accesso a un account di archiviazione
Da vm-1
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-1.
Selezionare Bastion in Operazioni.
Immettere il nome utente e la password specificati durante la creazione della macchina virtuale. Selezionare Connetti.
Ripetere il comando precedente per tentare di eseguire il mapping dell'unità alla condivisione file nell'account di archiviazione. Potrebbe essere necessario copiare di nuovo la chiave di accesso dell'account di archiviazione per questa procedura:
$key = @{ String = "<storage-account-key>" } $acctKey = ConvertTo-SecureString @key -AsPlainText -Force $cred = @{ ArgumentList = "Azure\<storage-account-name>", $acctKey } $credential = New-Object System.Management.Automation.PSCredential @cred $map = @{ Name = "Z" PSProvider = "FileSystem" Root = "\\<storage-account-name>.file.core.windows.net\file-share" Credential = $credential } New-PSDrive @map
Dovrebbe essere visualizzato il seguente messaggio di errore:
New-PSDrive : Access is denied At line:1 char:5 + New-PSDrive @map + ~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
Chiudere la connessione Bastion a vm-1.
Da un computer locale:
Nella casella di ricerca nella parte superiore del portale immettere Archiviazione account. Selezionare Archiviazione account nei risultati della ricerca.
In Archiviazione account selezionare l'account di archiviazione.
In Archiviazione dati selezionare Condivisioni file.
Selezionare condivisione file.
Selezionare Sfoglia nel menu a sinistra.
Dovrebbe essere visualizzato il seguente messaggio di errore:
Nota
L'accesso viene negato perché il computer non si trova nella subnet privata della rete virtuale vnet-1 .
Pulire le risorse
Al termine dell'uso delle risorse create, è possibile eliminare il gruppo di risorse e tutte le relative risorse:
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione e quindi selezionare Elimina.
Passaggi successivi
Contenuto dell'esercitazione:
È stato abilitato un endpoint servizio per una subnet di rete virtuale.
È stato illustrato che è possibile abilitare gli endpoint di servizio per le risorse distribuite da più servizi di Azure.
È stato creato un account Archiviazione di Azure e si è limitato l'accesso di rete all'account di archiviazione solo alle risorse all'interno di una subnet di rete virtuale.
Per altre informazioni sugli endpoint servizio, vedere Panoramica degli endpoint servizio e Gestire le subnet.
Se nell'account sono presenti più reti virtuali, è possibile stabilire la connettività tra di esse in modo che le risorse possano comunicare tra loro. Passare all'esercitazione successiva per informazioni su come connettere le reti virtuali.