Настройка группы безопасности приложений с частной конечной точкой

Приватный канал Azure частные конечные точки поддерживают группы безопасности приложений (ASG) для безопасности сети. Вы можете связать частные конечные точки с существующим ASG в текущей инфраструктуре вместе с виртуальными машинами и другими сетевыми ресурсами.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Если у вас еще нет учетной записи Azure, создайте ее бесплатно.

• Веб-приложение Azure с уровнем "Премиум версии 2" или более поздней версией плана службы приложений, развернутого в подписке Azure.

  • Дополнительные сведения и пример см . в кратком руководстве по созданию веб-приложения ASP.NET Core в Azure.
  • Пример веб-приложения в этой статье называется myWebApp1979. Замените пример именем веб-приложения.

• Существующий ASG в подписке. Дополнительные сведения о группах безопасности приложений приведены в разделе Группы безопасности приложений.

  • ASG, пример которой используется в настоящей статье, называется myASG. Замените ее собственной группой безопасности приложений.

• Существующая виртуальная сеть Azure и подсеть в подписке. Дополнительные сведения о создании виртуальной сети приведены в статье Краткое руководство: создание виртуальной сети с помощью портала Azure.

  • Виртуальная сеть, пример которой используется в настоящей статье, называется myVNet. Замените ее собственной виртуальной сетью.

• Установленная последняя версия Azure CLI.

  • Проверьте версию Azure CLI в терминале или в командном окне, выполнив команду az --version. Сведения о последней версии можно найти в свежих заметках о выпуске.
  • Если вы используете не самую последнюю версию Azure CLI, обновите ее с помощью руководства по установке для используемой ОС или платформы.

Если вы решили установить и использовать PowerShell локально, для этой статьи требуется модуль Azure PowerShell версии 5.4.1 или более поздней. Выполните командлет Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если необходимо выполнить обновление, см. статью об установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

Создание частной конечной точки с помощью ASG

Вы можете связать ASG с частной конечной точкой при его создании. В следующих процедурах показано, как связать ASG с частной конечной точкой при ее создании.

Портал

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите Частная конечная точка. В результатах поиска выберите Частные конечные точки.

3. Выберите + Создать в разделе Частные конечные точки.

4. На вкладке "Основные сведения" для создания частной конечной точки введите или выберите следующие сведения:

   Значение	Параметр
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите группу ресурсов. В данном примере это myResourceGroup.
   Сведения об экземпляре
   Имя.	Введите myPrivateEndpoint.
   Регион	Выберите Восточная часть США.

5. Нажмите кнопку Далее: ресурс в нижней части страницы.

6. На вкладке "Ресурс" введите или выберите следующие сведения:

   Значение	Параметр
   Способ подключения	Выберите Подключиться к ресурсу Azure в моем каталоге.
   Отток подписок	Выберите свою подписку.
   Тип ресурса	Выберите Microsoft.Web/sites.
   Ресурс	Выберите mywebapp1979.
   Целевой подресурс	Выберите сайты.

7. Выберите Далее: виртуальная сеть в нижней части страницы.

8. На вкладке виртуальная сеть введите или выберите следующие сведения:

   Значение	Параметр
   Сеть
   Виртуальная сеть	Выберите myVNet.
   Подсеть	Выберите подсеть. В этом примере это myVNet/myBackendSubnet(10.0.0.0/24).
   Включите политики сети для всех частных конечных точек в этой подсети.	Оставьте выбранный параметр по умолчанию.
   Группа безопасности приложений
   Группа безопасности приложений	Выберите myASG.

   

9. В нижней части страницы нажмите кнопку Далее: DNS.

10. Нажмите кнопку Далее: теги в нижней части страницы.

11. По завершении выберите Next: Отзыв и создание.

12. Нажмите кнопку создания.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Связывание ASG с существующей частной конечной точкой

Вы можете связать ASG с существующей частной конечной точкой. В следующих процедурах показано, как связать ASG с существующей частной конечной точкой.

Важно!

Для выполнения действий, описанных в настоящем разделе, необходимо иметь уже развернутую частную конечную точку. Конечная точка, пример которой используется в настоящем разделе, называется myPrivateEndpoint. Замените ее собственной частной конечной точкой.

Портал

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите Частная конечная точка. В результатах поиска выберите Частные конечные точки.

3. В разделе Частные конечные точки выберите myPrivateEndpoint.

4. В myPrivateEndpoint в разделе Параметры выберите Группы безопасности приложений.

5. В группах безопасности приложений выберите myASG в раскрывающемся списке.

   

6. Выберите Сохранить.

PowerShell

Связывание ASG с существующей частной конечной точкой с помощью Azure PowerShell в настоящее время не поддерживается.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Следующие шаги

Дополнительные сведения о Приватном канале Azure приведены в следующей статье:

• Что собой представляет Приватный канал Azure?