Zelfstudie: Netwerktoegang tot PaaS-resources beperken met service-eindpunten voor virtuele netwerken

Met service-eindpunten voor virtuele netwerken kunt u de netwerktoegang tot sommige Azure-servicebronnen beperken tot een subnet van een virtueel netwerk. U kunt ook internettoegang tot de resources verwijderen. Service-eindpunten zorgen voor een rechtstreekse verbinding van uw virtuele netwerk met ondersteunde Azure-services, zodat u de privéadresruimte van uw virtuele netwerk kunt gebruiken voor toegang tot de Azure-services. Verkeer dat bestemd is voor Azure-resources via de service-eindpunten blijft altijd op het Microsoft Azure-backbone-netwerk.

In deze zelfstudie leert u het volgende:

• Een virtueel netwerk maken met één subnet
• Een subnet toevoegen en een service-eindpunt inschakelen
• Een Azure-resource maken en alleen toegang ertoe toestaan vanaf een subnet
• Een virtuele machine (VM) implementeren op elk subnet
• Toegang tot een resource vanaf een subnet bevestigen
• Bevestigen dat toegang wordt geweigerd aan een resource vanaf een subnet en internet

Vereisten

Portal

• Een Azure-account met een actief abonnement. Maak gratis een account.

PowerShell

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

1. Start Cloud Shell.

2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V in Windows en Linux te selecteren of door Cmd+Shift+V te selecteren in macOS.

4. Selecteer Enter om de code of opdracht uit te voeren.

Als u PowerShell lokaal wilt installeren en gebruiken, is voor dit artikel versie 1.0.0 of hoger van de Azure PowerShell-module vereist. Voer Get-Module -ListAvailable Az uit om te kijken welke versie is geïnstalleerd. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

CLI

Als u geen Azure-abonnement hebt, kunt u een gratis Azure-account maken voordat u begint.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie quickstart voor Bash in Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Raadpleeg Aanmelden bij Azure CLI voor aanvullende aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Raadpleeg Extensies gebruiken met Azure CLI voor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Voor dit artikel is versie 2.0.28 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.

Een service-eindpunt inschakelen

Portal

Een virtueel netwerk en een Azure Bastion-host maken

Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Bastion-host:

1. Zoek en selecteer virtuele netwerken in de portal.

2. Selecteer + Maken op de pagina Virtuele netwerken.

3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer Nieuw maken. Voer test-rg in voor de naam. Selecteer OK.
   Exemplaardetails
   Naam	Voer vnet-1 in.
   Regio	Selecteer VS - oost 2.

   

4. Selecteer Volgende om door te gaan naar het tabblad Beveiliging.

5. Selecteer Azure Bastion in de sectie Azure Bastion inschakelen.

   Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion? voor meer informatie.

   Notitie

   De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

6. Voer in Azure Bastion de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Azure Bastion-hostnaam	Voer bastion in.
   Openbaar IP-adres van Azure Bastion	Selecteer Een openbaar IP-adres maken. Voer public-ip-bastion in naam in. Selecteer OK.

   

7. Selecteer Volgende om door te gaan naar het tabblad IP-adressen.

8. Selecteer in het adresruimtevak in Subnetten het standaardsubnet .

9. Voer in het subnet Bewerken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Subnetdoel	Laat de standaardwaarde standaard staan.
   Naam	Voer subnet-1 in.
   IPv4
   IPv4-adresbereik	Laat de standaardwaarde 10.0.0.0/16 staan.
   Beginadres	Laat de standaardwaarde 10.0.0.0 staan.
   Tekengrootte	Laat de standaardwaarde /24 (256 adressen) staan.

   

10. Selecteer Opslaan.

11. Selecteer Beoordelen en maken onderaan het venster. Wanneer de validatie is geslaagd, selecteert u Maken.

Service-eindpunten worden ingeschakeld per service, per subnet.

1. Zoek in het zoekvak boven aan de portalpagina naar Virtueel netwerk. Selecteer Virtuele netwerken in de zoekresultaten.

2. Selecteer vnet-1 in virtuele netwerken.

3. Selecteer Subnetten in de sectie Instellingen van vnet-1.

4. Selecteer + Subnet.

5. Voer op de pagina Subnet toevoegen de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Naam	privé subnet
   Subnetadresbereik	Laat de standaardwaarde 10.0.2.0/24 staan.
   SERVICE-EINDPUNTEN
   Services	Selecteer Microsoft.Storage

6. Selecteer Opslaan.

Let op

Zie Subnetinstellingen wijzigen voordat u een servicepunt voor een bestaand subnet met resources inschakelt.

PowerShell

Een virtueel netwerk maken

1. Voordat u een virtueel netwerk maakt, moet u een resourcegroep maken voor het virtuele netwerk en alle andere resources die in dit artikel zijn gemaakt. Maak een resourcegroep met behulp van de opdracht New-AzResourceGroup. In het volgende voorbeeld wordt een resourcegroep met de naam test-rg gemaakt:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Maak een virtueel netwerk met New-AzVirtualNetwork. In het volgende voorbeeld wordt een virtueel netwerk met de naam vnet-1 gemaakt met het adresvoorvoegsel 10.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Maak een subnetconfiguratie met New-AzVirtualNetworkSubnetConfig. In het volgende voorbeeld wordt een subnetconfiguratie gemaakt voor een subnet met de naam subnet-public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Maak het subnet in het virtuele netwerk door de subnetconfiguratie naar het virtuele netwerk te schrijven met Set-AzVirtualNetwork:

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Maak een ander subnet in het virtuele netwerk. In dit voorbeeld wordt een subnet met de naam subnet-privé gemaakt met een service-eindpunt voor Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Azure Bastion implementeren

Azure Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion?voor meer informatie over Bastion.

De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

1. Configureer een Bastion-subnet voor uw virtuele netwerk. Dit subnet is exclusief gereserveerd voor Bastion-resources en moet De naam AzureBastionSubnet hebben.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Stel de configuratie in:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Maak een openbaar IP-adres voor Bastion. De Bastion-host gebruikt het openbare IP-adres voor toegang tot SSH en RDP via poort 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Gebruik de opdracht New-AzBastion om een nieuwe standaard Bastion-host te maken in AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Het duurt ongeveer 10 minuten om de Bastion-resources te implementeren. In de volgende sectie kunt u VM's maken terwijl Bastion wordt geïmplementeerd in uw virtuele netwerk.

CLI

Een virtueel netwerk maken

1. Voordat u een virtueel netwerk maakt, moet u een resourcegroep maken voor het virtuele netwerk en alle andere resources die in dit artikel zijn gemaakt. Maak een resourcegroep maken met az group create. In het volgende voorbeeld wordt een resourcegroep met de naam test-rg gemaakt op de locatie westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Maak een virtueel netwerk met één subnet met az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. U kunt service-eindpunten alleen inschakelen voor services die service-eindpunten ondersteunen. Services met service-eindpunten weergeven die beschikbaar zijn op een Azure-locatie met az network vnet list-endpoint-services. In het volgende voorbeeld wordt een lijst met services met service-eindpunten geretourneerd die beschikbaar zijn in de regio westus2 . De lijst met geretourneerde services neemt na verloop van tijd toe, omdat meer Azure-services service-eindpunten worden ingeschakeld.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Maak een ander subnet in het virtuele netwerk met az network vnet subnet create. In dit voorbeeld wordt een service-eindpunt gemaakt voor Microsoft.Storage het subnet:

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

Netwerktoegang voor een subnet beperken

Portal

Standaard kunnen alle exemplaren van virtuele machines in een subnet communiceren met alle resources. U kunt de communicatie naar en van alle bronnen in een subnet beperken door een netwerkbeveiligingsgroep te maken en deze aan het subnet te koppelen.

1. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer + Maken in netwerkbeveiligingsgroepen.

3. Voer op het tabblad Basisbeginselen van netwerkbeveiligingsgroep maken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Exemplaardetails
   Naam	Voer nsg-opslag in.
   Regio	Selecteer VS - oost 2.

4. Selecteer Controleren en maken en selecteer vervolgens Maken.

PowerShell

1. Maak een netwerkbeveiligingsgroep met New-AzNetworkSecurityGroup. In het volgende voorbeeld wordt een netwerkbeveiligingsgroep met de naam nsg-private gemaakt.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

CLI

Maak een netwerkbeveiligingsgroep met az network nsg create. In het volgende voorbeeld wordt een netwerkbeveiligingsgroep met de naam nsg-private gemaakt.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

Regels voor uitgaande netwerkbeveiligingsgroep (NSG) maken

Portal

1. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer nsg-storage.

3. Selecteer uitgaande beveiligingsregels in Instellingen.

4. Selecteer + Toevoegen.

5. Maak een regel die uitgaande communicatie naar de Azure Storage-service toestaat. Voer de volgende informatie in of selecteer deze in Uitgaande beveiligingsregel toevoegen:

   Instelling	Waarde
   Bron	selecteer Servicetag.
   Bronservicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Laat de standaardwaarde staan van *.
   Bestemming	selecteer Servicetag.
   Doelservicetag	Selecteer Opslag.
   Service	Laat de standaardwaarde Aangepast staan.
   Poortbereiken van doel	Voer 445 in.
   Protocol	Selecteer Een.
   Actie	Selecteer Toestaan.
   Prioriteit	Laat de standaardwaarde van 100 staan.
   Naam	Voer allow-storage-all in.

   

6. Selecteer + Toevoegen.

7. Maak een uitgaande beveiligingsregel die communicatie naar internet weigert. Deze regel overschrijft een standaardregel in alle netwerkbeveiligingsgroepen waarmee uitgaande internetcommunicatie mogelijk is. Voer de vorige stappen uit met de volgende waarden in Uitgaande beveiligingsregel toevoegen:

   Instelling	Waarde
   Bron	selecteer Servicetag.
   Bronservicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Laat de standaardwaarde staan van *.
   Bestemming	selecteer Servicetag.
   Doelservicetag	selecteer Internet.
   Service	Laat de standaardwaarde Aangepast staan.
   Poortbereiken van doel	Voer * in.
   Protocol	Selecteer Een.
   Actie	Selecteer Weigeren.
   Prioriteit	Laat de standaardwaarde 110 staan.
   Naam	Voer deny-internet-all in.

   

8. Selecteer Toevoegen.

9. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

10. Selecteer nsg-storage.

11. Selecteer Subnetten in Instellingen.

12. Selecteer + Koppelen.

13. Selecteer vnet-1 in virtueel netwerk in subnet koppelen. Selecteer privé subnet in Subnet.

    

14. Selecteer OK.

PowerShell

1. Maak beveiligingsregels voor netwerkbeveiligingsgroepen met New-AzNetworkSecurityRuleConfig. De volgende regel staat uitgaande toegang toe tot de openbare IP-adressen die zijn toegewezen aan de Azure Storage-service:

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Met de volgende regel wordt de toegang tot alle openbare IP-adressen geweigerd. De vorige regel overschrijft deze regel vanwege de hogere prioriteit, waardoor toegang tot de openbare IP-adressen van Azure Storage mogelijk is.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Gebruik Get-AzNetworkSecurityGroup om het object van de netwerkbeveiligingsgroep op te halen in een variabele. Gebruik Set-AzNetworkSecurityRuleConfig om de regels toe te voegen aan de netwerkbeveiligingsgroep.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Koppel de netwerkbeveiligingsgroep aan het subnet-privésubnet met Set-AzVirtualNetworkSubnetConfig en schrijf vervolgens de subnetconfiguratie naar het virtuele netwerk. In het volgende voorbeeld wordt de netwerkbeveiligingsgroep nsg-private gekoppeld aan het subnet-privésubnet :

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

CLI

1. Maak beveiligingsregels met az network nsg rule create. De volgende regel staat uitgaande toegang toe tot de openbare IP-adressen die zijn toegewezen aan de Azure Storage-service:

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Elke netwerkbeveiligingsgroep bevat verschillende standaardbeveiligingsregels. De regel die volgt overschrijft een standaardbeveiligingsregel waarmee uitgaande toegang tot alle openbare IP-adressen wordt toegestaan. De destination-address-prefix "Internet" optie weigert uitgaande toegang tot alle openbare IP-adressen. De vorige regel overschrijft deze regel vanwege de hogere prioriteit, waardoor toegang tot de openbare IP-adressen van Azure Storage mogelijk is.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Met de volgende regel kan SSH-verkeer binnenkomend naar het subnet vanaf elke locatie. De regel overschrijft een standaardbeveiligingsregel waardoor al het inkomende verkeer van internet wordt geweigerd. SSH is toegestaan voor het subnet, zodat de connectiviteit in een latere stap kan worden getest.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Koppel de netwerkbeveiligingsgroep aan het subnet-privésubnet met az network vnet subnet update. In het volgende voorbeeld wordt de netwerkbeveiligingsgroep nsg-private gekoppeld aan het subnet-privésubnet :

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

Netwerktoegang tot een resource beperken

Portal

De stappen die nodig zijn om de netwerktoegang te beperken tot resources die zijn gemaakt via Azure-services, die zijn ingeschakeld voor service-eindpunten, variëren per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van deze zelfstudie bevat stappen voor het beperken van de netwerktoegang voor een Azure Storage-account, bijvoorbeeld.

Een opslagaccount maken

Maak een Azure Storage-account voor de stappen in dit artikel. Als u al een opslagaccount hebt, kunt u dit gebruiken.

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer + Maken.

3. Voer op het tabblad Basisbeginselen van Een opslagaccount maken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Projectgegevens
   Abonnement	Selecteer uw Azure-abonnement.
   Resourcegroep	Selecteer test-rg.
   Exemplaardetails
   Naam van het opslagaccount	Voer opslag1 in. Als de naam niet beschikbaar is, voert u een unieke naam in.
   Locatie	Selecteer (VS) VS - oost 2.
   Prestaties	Laat de standaardwaarde Standard staan.
   Redundantie	Selecteer Lokaal redundante opslag (LRS).

4. Selecteer Beoordelen.

5. Selecteer Maken.

PowerShell

1. Maak een Azure-opslagaccount met New-AzStorageAccount. Vervang <replace-with-your-unique-storage-account-name> door een naam die uniek is voor alle Azure-locaties, tussen 3 en 24 tekens lang, met alleen cijfers en kleine letters.

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. Nadat het opslagaccount is gemaakt, haalt u de sleutel voor het opslagaccount op in een variabele met Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   Voor deze zelfstudie wordt de verbindingsreeks gebruikt om verbinding te maken met het opslagaccount. Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

   Zie Een beheerde identiteit gebruiken voor toegang tot Azure Storage voor meer informatie over het maken van verbinding met een opslagaccount met behulp van een beheerde identiteit.

   De sleutel wordt gebruikt om een bestandsshare te maken in een latere stap. Voer de waarde in $storageAcctKey en noteer deze. U voert deze handmatig in een latere stap in wanneer u de bestandsshare toe wijst aan een station in een virtuele machine.

CLI

De stappen die nodig zijn om netwerktoegang te beperken tot resources die zijn gemaakt met Azure-services waarvoor service-eindpunten zijn ingeschakeld, verschillen per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van dit artikel bevat stappen voor het beperken van de netwerktoegang voor een Azure Storage-account, bijvoorbeeld.

Een opslagaccount maken

1. Maak een Azure-opslagaccount met az storage account create. Vervang <replace-with-your-unique-storage-account-name> door een naam die uniek is voor alle Azure-locaties, tussen 3 en 24 tekens lang, met alleen cijfers en kleine letters.

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. Nadat het opslagaccount is gemaakt, haalt u de verbindingsreeks voor het opslagaccount op in een variabele met az storage account show-connection-string. De verbindingsreeks wordt gebruikt om in een latere stap een bestandsshare te maken.

   Voor deze zelfstudie wordt de verbindingsreeks gebruikt om verbinding te maken met het opslagaccount. Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

   Zie Een beheerde identiteit gebruiken voor toegang tot Azure Storage voor meer informatie over het maken van verbinding met een opslagaccount met behulp van een beheerde identiteit.

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

Een bestandsshare maken in het opslagaccount

Portal

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer in Opslagaccounts het opslagaccount dat u in de vorige stap hebt gemaakt.

3. Selecteer bestandsshares in gegevensopslag.

4. Selecteer + Bestandsshare.

5. Voer de volgende gegevens in of selecteer deze in nieuwe bestandsshare:

   Instelling	Weergegeven als
   Naam	Voer de bestandsshare in.
   Laag	Laat de standaardinstelling voor geoptimaliseerde transacties staan.

6. Selecteer Volgende: Back-up.

7. Schakel back-up inschakelen uit.

8. Selecteer Controleren en maken en selecteer vervolgens Maken.

PowerShell

1. Maak een context voor uw opslagaccount en sleutel met New-AzStorageContext. De context bevat de naam van het opslagaccount en de accountsleutel:

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Maak een bestandsshare met New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

CLI

1. Maak een bestandsshare in het opslagaccount met az storage share create. In een latere stap wordt deze bestandsshare gekoppeld om de netwerktoegang te bevestigen.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

Netwerktoegang tot een subnet beperken

Portal

Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk, inclusief internet. U kunt de netwerktoegang vanaf internet en alle andere subnetten in alle virtuele netwerken beperken (met uitzondering van het subnet-privésubnet in het virtuele vnet-1-netwerk .)

Netwerktoegang tot een subnet beperken:

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer uw opslagaccount.

3. Selecteer Netwerken in Beveiliging en netwerken.

4. Selecteer op het tabblad Firewalls en virtuele netwerken de optie Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen in openbare netwerktoegang.

5. Selecteer + Bestaand virtueel netwerk toevoegen in virtuele netwerken.

6. Voer in Netwerken toevoegen de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Abonnement	Selecteer uw abonnement.
   Virtuele netwerken	Selecteer vnet-1.
   Subnetten	Selecteer privé subnet.

   

7. Selecteer Toevoegen.

8. Selecteer Opslaan om de configuraties van het virtuele netwerk op te slaan.

   

PowerShell

1. Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk. Als u de toegang tot geselecteerde netwerken wilt beperken, wijzigt u de standaardactie in Weigeren met Update-AzStorageAccountNetworkRuleSet. Zodra de netwerktoegang is geweigerd, is het opslagaccount niet toegankelijk vanuit een netwerk.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Haal het gemaakte virtuele netwerk op met Get-AzVirtualNetwork en haal vervolgens het privésubnetobject op in een variabele met Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Netwerktoegang tot het opslagaccount toestaan vanuit het subnet-privésubnet met Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

CLI

1. Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk. Als u de toegang tot geselecteerde netwerken wilt beperken, wijzigt u de standaardactie in Weigeren met az storage account update. Zodra de netwerktoegang is geweigerd, is het opslagaccount niet toegankelijk vanuit een netwerk.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Netwerktoegang tot het opslagaccount toestaan vanuit het subnet-privésubnet met az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Virtuele machines implementeren in subnetten

Portal

Als u de netwerktoegang tot een opslagaccount wilt testen, implementeert u een virtuele machine in elk subnet.

Virtuele testmachine maken

Met de volgende procedure maakt u een virtuele testmachine (VM) met de naam vm-1 in het virtuele netwerk.

1. Zoek en selecteer virtuele machines in de portal.

2. Selecteer + Maken in virtuele machines en vervolgens de virtuele Azure-machine.

3. Voer op het tabblad Basisbeginselen van Een virtuele machine maken de volgende gegevens in of selecteer deze:

   Instelling	Weergegeven als
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Exemplaardetails
   Virtual machine name	Voer vm-1 in.
   Regio	Selecteer VS - oost 2.
   Beschikbaarheidsopties	Selecteer Geen infrastructuurredundantie vereist.
   Beveiligingstype	Laat de standaardwaarde van Standard staan.
   Afbeelding	Selecteer Windows Server 2022 Datacenter - x64 Gen2.
   VM-architectuur	Laat de standaardwaarde x64 staan.
   Tekengrootte	Selecteer een grootte.
   Beheerdersaccount
   Authentication type	Selecteer Wachtwoord.
   Username	Voer azureuser in.
   Wachtwoord	Voer een wachtwoord in.
   Wachtwoord bevestigen	Voer het wachtwoord opnieuw in.
   Regels voor binnenkomende poort
   Openbare poorten voor inkomend verkeer	Selecteer Geen.

4. Selecteer het tabblad Netwerken boven aan de pagina.

5. Voer de volgende gegevens in of selecteer deze op het tabblad Netwerken :

   Instelling	Weergegeven als
   Netwerkinterface
   Virtueel netwerk	Selecteer vnet-1.
   Subnet	Selecteer subnet-1 (10.0.0.0/24).
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Geavanceerd.
   Netwerkbeveiligingsgroep configureren	Selecteer Nieuw maken. Voer nsg-1 in als naam. Laat de rest op de standaardwaarden staan en selecteer OK.

6. Laat de rest van de instellingen op de standaardwaarden staan en selecteer Beoordelen en maken.

7. Controleer de instellingen en selecteer Maken.

Notitie

Virtuele machines in een virtueel netwerk met een bastionhost hebben geen openbare IP-adressen nodig. Bastion biedt het openbare IP-adres en de VM's gebruiken privé-IP's om binnen het netwerk te communiceren. U kunt de openbare IP-adressen verwijderen van virtuele machines in gehoste virtuele bastionnetwerken. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine voor meer informatie.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

• Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
• De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
• Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

De tweede virtuele machine maken

1. Maak een tweede virtuele machine die de stappen in de vorige sectie herhaalt. Vervang de volgende waarden in Een virtuele machine maken:

   Instelling	Weergegeven als
   Virtual machine name	Voer vm-privé in.
   Subnet	Selecteer privé subnet.
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Geen.

   Waarschuwing

   Ga pas verder met de volgende stap als de implementatie is voltooid.

PowerShell

De eerste virtuele machine maken

Maak een virtuele machine in het subnet-openbare subnet met New-AzVM. Wanneer u de volgende opdracht uitvoert, wordt u gevraagd om referenties. De waarden die u invoert, worden geconfigureerd als de gebruikersnaam en het wachtwoord voor de virtuele machine.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

De tweede virtuele machine maken

Maak een virtuele machine in het subnet-privésubnet :

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Het duurt enkele minuten voordat Azure de virtuele machine heeft gemaakt. Ga pas verder met de volgende stap als Azure klaar is met het maken van de VIRTUELE machine en uitvoer retourneert naar PowerShell.

CLI

Implementeer een VM in elk subnet om de netwerktoegang tot een opslagaccount te testen.

De eerste virtuele machine maken

Maak een VIRTUELE machine in het subnet-openbare subnet met az vm create. Als SSH-sleutels niet al bestaan op de standaardsleutellocatie, worden ze met deze opdracht gemaakt. Als u een specifieke set sleutels wilt gebruiken, gebruikt u de optie --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

Het maken van de virtuele machine duurt een paar minuten. Nadat de VIRTUELE machine is gemaakt, toont de Azure CLI informatie die vergelijkbaar is met het volgende voorbeeld:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

De tweede virtuele machine maken

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

Het maken van de virtuele machine duurt een paar minuten.

Toegang tot opslagaccount bevestigen

Portal

De virtuele machine die u eerder hebt gemaakt die is toegewezen aan het subnet-privésubnet , wordt gebruikt om de toegang tot het opslagaccount te bevestigen. De virtuele machine die u in de vorige sectie hebt gemaakt die is toegewezen aan het subnet-1-subnet , wordt gebruikt om te bevestigen dat de toegang tot het opslagaccount is geblokkeerd.

Toegangssleutel voor opslagaccount ophalen

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer uw opslagaccount in Opslagaccounts.

3. Selecteer toegangssleutels in Beveiliging en netwerken.

4. Kopieer de waarde van sleutel1. Mogelijk moet u de knop Weergeven selecteren om de sleutel weer te geven.

   

5. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

6. Selecteer vm-privé.

7. Selecteer Bastion in Bewerkingen.

8. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

9. Open Windows PowerShell. Gebruik het volgende script om de Azure-bestandsshare toe te wijzen aan station Z.

   • Vervang <storage-account-key> door de sleutel die u in de vorige stap hebt gekopieerd.

   • Vervang <storage-account-name> door de naam van uw opslagaccount. In dit voorbeeld is het opslag8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell retourneert uitvoer die er ongeveer zo uitziet als in dit voorbeeld:

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   De Azure-bestandsshare is toegewezen aan station Z.

10. Sluit de Bastion-verbinding met vm-privé.

PowerShell

De virtuele machine die u eerder hebt gemaakt die is toegewezen aan het subnet-privésubnet , wordt gebruikt om de toegang tot het opslagaccount te bevestigen. De virtuele machine die u in de vorige sectie hebt gemaakt die is toegewezen aan het subnet-1-subnet , wordt gebruikt om te bevestigen dat de toegang tot het opslagaccount is geblokkeerd.

Toegangssleutel voor opslagaccount ophalen

1. Meld u aan bij Azure Portal.

2. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

3. Selecteer uw opslagaccount in Opslagaccounts.

4. Selecteer toegangssleutels in Beveiliging en netwerken.

5. Kopieer de waarde van sleutel1. Mogelijk moet u de knop Weergeven selecteren om de sleutel weer te geven.

   

6. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

7. Selecteer vm-privé.

8. Selecteer Verbinding maken en vervolgens verbinding maken via Bastion in overzicht.

9. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

10. Open Windows PowerShell. Gebruik het volgende script om de Azure-bestandsshare toe te wijzen aan station Z.

    • Vervang <storage-account-key> door de sleutel die u in de vorige stap hebt gekopieerd.

    • Vervang <storage-account-name> door de naam van uw opslagaccount. In dit voorbeeld is het opslag8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell retourneert uitvoer die er ongeveer zo uitziet als in dit voorbeeld:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    De Azure-bestandsshare is toegewezen aan station Z.

11. Controleer of de VIRTUELE machine geen uitgaande connectiviteit heeft met andere openbare IP-adressen:

    ping bing.com
    

    U ontvangt geen antwoorden omdat de netwerkbeveiligingsgroep die is gekoppeld aan het privésubnet geen uitgaande toegang toestaat tot andere openbare IP-adressen dan de adressen die zijn toegewezen aan de Azure Storage-service.

12. Sluit de Bastion-verbinding met vm-privé.

CLI

SSH naar de vm-privé-VM .

1. Voer de volgende opdracht uit om het IP-adres van de VIRTUELE machine op te slaan als een omgevingsvariabele:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Maak een map voor een koppelpunt:

   sudo mkdir /mnt/file-share
   

3. Koppel de Azure-bestandsshare aan de map die u hebt gemaakt. Voordat u de volgende opdracht uitvoert, vervangt <storage-account-name> u de accountnaam en <storage-account-key> door de sleutel die u hebt opgehaald in Een opslagaccount maken.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   U ontvangt de user@vm-private:~$ prompt. De Azure-bestandsshare is gekoppeld aan /mnt/file-share.

4. Controleer of de VIRTUELE machine geen uitgaande connectiviteit heeft met andere openbare IP-adressen:

   ping bing.com -c 4
   

   U ontvangt geen antwoorden omdat de netwerkbeveiligingsgroep die is gekoppeld aan het subnet-privésubnet geen uitgaande toegang toestaat tot openbare IP-adressen dan de adressen die zijn toegewezen aan de Azure Storage-service.

5. Sluit de SSH-sessie af op de vm-privé-VM .

Bevestigen dat toegang tot opslagaccount wordt geweigerd

Portal

Van vm-1

1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

2. Selecteer vm-1.

3. Selecteer Bastion in Bewerkingen.

4. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

5. Herhaal de vorige opdracht om het station toe te wijzen aan de bestandsshare in het opslagaccount. Mogelijk moet u de toegangssleutel van het opslagaccount opnieuw kopiëren voor deze procedure:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. U ontvangt het volgende foutbericht:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Sluit de Bastion-verbinding met vm-1.

Vanaf een lokale computer

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer uw opslagaccount in Opslagaccounts.

3. Selecteer bestandsshares in gegevensopslag.

4. Selecteer bestandsshare.

5. Selecteer Bladeren in het linkermenu.

6. U ontvangt het volgende foutbericht:

   

Notitie

De toegang wordt geweigerd omdat uw computer zich niet in het subnet-privésubnet van het virtuele netwerk vnet-1 bevindt.

PowerShell

Van vm-1

1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

2. Selecteer vm-1.

3. Selecteer Bastion in Bewerkingen.

4. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

5. Herhaal de vorige opdracht om het station toe te wijzen aan de bestandsshare in het opslagaccount. Mogelijk moet u de toegangssleutel van het opslagaccount opnieuw kopiëren voor deze procedure:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. U ontvangt het volgende foutbericht:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Sluit de Bastion-verbinding met vm-1.

8. Probeer vanaf uw computer de bestandsshares in het opslagaccount weer te geven met de volgende opdracht:

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Toegang wordt geweigerd. U ontvangt een uitvoer die vergelijkbaar is met het volgende voorbeeld.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Uw computer bevindt zich niet in het subnet-privésubnet van het virtuele vnet-1-netwerk .

CLI

SSH naar de vm-openbare VM.

1. Voer de volgende opdracht uit om het IP-adres van de VIRTUELE machine op te slaan als een omgevingsvariabele:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Maak een map voor een koppelpunt:

   sudo mkdir /mnt/file-share
   

3. Probeer de Azure-bestandsshare te koppelen aan de map die u hebt gemaakt. In dit artikel wordt ervan uitgegaan dat u de nieuwste versie van Ubuntu hebt geïmplementeerd. Als u eerdere versies van Ubuntu gebruikt, raadpleegt u Koppeling op Linux voor meer instructies over het koppelen van bestandsshares. Voordat u de volgende opdracht uitvoert, vervangt <storage-account-name> u de accountnaam en <storage-account-key> door de sleutel die u hebt opgehaald in Een opslagaccount maken:

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   De toegang wordt geweigerd en u krijgt een mount error(13): Permission denied foutmelding, omdat de vm-openbare VM is geïmplementeerd in het subnet-openbare subnet. Het subnet-openbare subnet heeft geen service-eindpunt ingeschakeld voor Azure Storage en het opslagaccount staat alleen netwerktoegang toe vanuit het subnet-privésubnet , niet het subnet-openbare subnet.

4. Sluit de SSH-sessie af op de vm-openbare VM.

5. Probeer vanaf uw computer de shares in uw opslagaccount te bekijken met az storage share list. Vervang en <account-key> door <account-name> de naam en sleutel van het opslagaccount uit Een opslagaccount maken:

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   De toegang wordt geweigerd en u ontvangt een aanvraag die niet is gemachtigd om deze bewerkingsfout uit te voeren, omdat uw computer zich niet in het subnet-privésubnet van het virtuele vnet-1-netwerk bevindt.

Portal

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen.

1. Zoek en selecteer Resourcegroepen in de Azure-portal.

2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

PowerShell

U kunt de opdracht Remove-AzResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen, wanneer u deze niet meer nodig hebt:

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

CLI

Resources opschonen

Wanneer u deze niet meer nodig hebt, gebruikt u az group delete om de resourcegroep en alle resources die deze bevat te verwijderen.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Volgende stappen

In deze zelfstudie:

• U hebt een service-eindpunt ingeschakeld voor een subnet van een virtueel netwerk.

• U hebt geleerd dat u service-eindpunten kunt inschakelen voor vanaf meerdere Azure-services geïmplementeerde resources.

• U hebt een Azure Storage-account gemaakt en de netwerktoegang tot het opslagaccount beperkt tot alleen resources binnen een subnet van een virtueel netwerk.

Zie voor meer informatie over service-eindpunten Overzicht voor service-eindpunten en Subnetten beheren.

Als u meerdere virtuele netwerken in uw account hebt, wilt u mogelijk verbinding maken tussen deze netwerken, zodat resources met elkaar kunnen communiceren. Ga verder met de volgende zelfstudie om te leren hoe u virtuele netwerken met elkaar kunt verbinden.

Virtuele netwerken verbinden