Delen via


Tutorial: Verbinding maken met een opslagaccount met behulp van een privé-eindpunt in Azure

Een privé-eindpunt in Azure is de fundamentele bouwsteen voor een Private Link in Azure. Hiermee kunnen Azure-resources, zoals virtuele machines (VM's), privé en veilig communiceren met Private Link-resources zoals Azure Storage.

Diagram van resources die zijn gemaakt in de zelfstudie.

In deze zelfstudie leert u het volgende:

  • Een virtueel netwerk en een Bastion-host maken
  • Maak een opslagaccount en schakel openbare toegang uit.
  • Maak een privé-eindpunt voor het opslagaccount.
  • Hiermee maakt u een virtuele machine.
  • Test de connectiviteit met het privé-eindpunt van het opslagaccount.

Vereisten

  • Een Azure-abonnement. Als u nog geen abonnement op Azure hebt, maak dan een gratis account aan voordat u begint.

Aanmelden bij Azure

Meld u aan bij het Azure-portaal.

Een virtueel netwerk en een Azure Bastion-host maken

Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Bastion-host:

  1. Zoek en selecteer virtuele netwerken in de portal.

  2. Selecteer + Maken op de pagina Virtuele netwerken.

  3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer test-rg in voor de naam.
    Selecteer OK.
    Exemplaardetails
    Naam Voer vnet-1 in.
    Regio Selecteer VS - oost 2.

    Schermopname van het tabblad Basisinformatie voor het maken van een virtueel netwerk in Azure Portal.

  4. Selecteer Volgende om door te gaan naar het tabblad Beveiliging.

  5. Selecteer Azure Bastion in de sectie Azure Bastion inschakelen.

    Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion? voor meer informatie.

    Notitie

    De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  6. Voer in Azure Bastion de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Azure Bastion-hostnaam Voer bastion in.
    Openbaar IP-adres van Azure Bastion Selecteer Een openbaar IP-adres maken.
    Voer public-ip-bastion in naam in.
    Selecteer OK.

    Schermopname van opties voor het inschakelen van een Azure Bastion-host als onderdeel van het maken van een virtueel netwerk in Azure Portal.

  7. Selecteer Volgende om door te gaan naar het tabblad IP-adressen.

  8. Selecteer in het adresruimtevak in Subnetten het standaardsubnet .

  9. Voer in het subnet Bewerken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Subnetdoel Laat de standaardwaarde standaard staan.
    Naam Voer subnet-1 in.
    IPv4
    IPv4-adresbereik Laat de standaardwaarde 10.0.0.0/16 staan.
    Beginadres Laat de standaardwaarde 10.0.0.0 staan.
    Tekengrootte Laat de standaardwaarde /24 (256 adressen) staan.

    Schermopname van configuratiedetails voor een subnet.

  10. Selecteer Opslaan.

  11. Selecteer Beoordelen en maken onderaan het venster. Wanneer de validatie is geslaagd, selecteert u Maken.

Een opslagaccount maken

Maak een Azure Storage-account voor de stappen in dit artikel. Als u al een opslagaccount hebt, kunt u dit gebruiken.

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer + Maken.

  3. Voer op het tabblad Basisbeginselen van Een opslagaccount maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam van het opslagaccount Voer opslag1 in. Als de naam niet beschikbaar is, voert u een unieke naam in.
    Locatie Selecteer (VS) VS - oost 2.
    Prestaties Laat de standaardwaarde Standard staan.
    Redundantie Selecteer Lokaal redundante opslag (LRS).
  4. Selecteer Beoordelen.

  5. Selecteer Maken.

Openbare toegang tot opslagaccount uitschakelen

Voordat u het privé-eindpunt maakt, is het raadzaam om openbare toegang tot het opslagaccount uit te schakelen. Gebruik de volgende stappen om openbare toegang tot het opslagaccount uit te schakelen.

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer opslag1 of de naam van uw bestaande opslagaccount.

  3. Selecteer Netwerken in Beveiliging en netwerken.

  4. Selecteer Uitgeschakeld op het tabblad Firewalls en virtuele netwerken in openbare netwerktoegang.

  5. Selecteer Opslaan.

Privé-eindpunt maken

  1. Voer in het zoekvak boven aan de portal privé-eindpunt in. Selecteer Privé-eindpunten.

  2. Selecteer + Maken in privé-eindpunten.

  3. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze.

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Test-rg selecteren
    Exemplaardetails
    Naam Voer een privé-eindpunt in.
    Netwerkinterfacenaam Laat de standaardwaarde voor privé-eindpunt-nic staan.
    Regio Selecteer VS - oost 2.
  4. Selecteer Volgende: Resource.

  5. Voer in het deelvenster Resource de volgende gegevens in of selecteer deze.

    Instelling Weergegeven als
    Verbindingsmethode Laat de standaardwaarde van Verbinding maken met een Azure-resource in mijn directory staan.
    Abonnement Selecteer uw abonnement.
    Brontype Selecteer Microsoft.Storage/storageAccounts.
    Bron Selecteer opslag-1 of uw opslagaccount.
    Subresource van doel Selecteer blob.
  6. Selecteer Volgende: Virtueel netwerk.

  7. Voer in Virtual Network de volgende gegevens in of selecteer deze.

    Instelling Weergegeven als
    Netwerken
    Virtueel netwerk Selecteer vnet-1 (test-rg).
    Subnet Selecteer subnet-1.
    Netwerkbeleid voor privé-eindpunten Selecteer bewerken om netwerkbeleid toe te passen voor privé-eindpunten.
    Schakel in Het subnetnetwerkbeleid bewerken het selectievakje in naast netwerkbeveiligingsgroepen en routetabellen in de instelling Netwerkbeleid voor alle privé-eindpunten in deze subnet-pull-down.
    Selecteer Opslaan.

    Zie Netwerkbeleid voor privé-eindpunten beheren voor meer informatie
    Instelling Weergegeven als
    Privé-IP-configuratie Selecteer Dynamisch IP-adres toewijzen.

    Schermopname van dynamische IP-adresselectie.

  8. Selecteer Volgende: DNS.

  9. Laat de standaardwaarden in DNS staan. Selecteer Volgende: Tags en vervolgens Volgende: Beoordelen en maken.

  10. Selecteer Maken.

Virtuele testmachine maken

Met de volgende procedure maakt u een virtuele testmachine (VM) met de naam vm-1 in het virtuele netwerk.

  1. Zoek en selecteer virtuele machines in de portal.

  2. Selecteer + Maken in virtuele machines en vervolgens de virtuele Azure-machine.

  3. Voer op het tabblad Basisbeginselen van Een virtuele machine maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Virtual machine name Voer vm-1 in.
    Regio Selecteer VS - oost 2.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Beveiligingstype Laat de standaardwaarde van Standard staan.
    Afbeelding Selecteer Windows Server 2022 Datacenter - x64 Gen2.
    VM-architectuur Laat de standaardwaarde x64 staan.
    Tekengrootte Selecteer een grootte.
    Beheerdersaccount
    Authentication type Selecteer Wachtwoord.
    Username Voer azureuser in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.
  4. Selecteer het tabblad Netwerken boven aan de pagina.

  5. Voer de volgende gegevens in of selecteer deze op het tabblad Netwerken :

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk Selecteer vnet-1.
    Subnet Selecteer subnet-1 (10.0.0.0/24).
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Selecteer Geavanceerd.
    Netwerkbeveiligingsgroep configureren Selecteer Nieuw maken.
    Voer nsg-1 in als naam.
    Laat de rest op de standaardwaarden staan en selecteer OK.
  6. Laat de rest van de instellingen op de standaardwaarden staan en selecteer Beoordelen en maken.

  7. Controleer de instellingen en selecteer Maken.

Notitie

Virtuele machines in een virtueel netwerk met een bastionhost hebben geen openbare IP-adressen nodig. Bastion biedt het openbare IP-adres en de VM's gebruiken privé-IP's om binnen het netwerk te communiceren. U kunt de openbare IP-adressen verwijderen van virtuele machines in gehoste virtuele bastionnetwerken. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine voor meer informatie.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

Toegangssleutel voor opslag

De toegangssleutel voor opslag is vereist voor de latere stappen. Ga naar het opslagaccount dat u eerder hebt gemaakt en kopieer de verbindingsreeks met de toegangssleutel voor het opslagaccount.

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer het opslagaccount dat u in de vorige stappen of uw bestaande opslagaccount hebt gemaakt.

  3. Selecteer toegangssleutels in de sectie Beveiliging en netwerken van het opslagaccount.

  4. Selecteer Weergeven en selecteer vervolgens Kopiëren in de verbindingsreeks voor sleutel1.

Een blobcontainer toevoegen

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer het opslagaccount dat u in de vorige stappen hebt gemaakt.

  3. Selecteer Containers in de sectie Gegevensopslag.

  4. Selecteer + Container om een nieuwe container te maken.

  5. Voer de container in Naam in en selecteer Privé (geen anonieme toegang) onder Openbaar toegangsniveau.

  6. Selecteer Maken.

Privé-eindpuntconnectiviteit testen

In deze sectie gebruikt u de virtuele machine die u in de vorige stappen hebt gemaakt om verbinding te maken met het opslagaccount in het privé-eindpunt met behulp van Microsoft Azure Storage Explorer.

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer vm-1.

  3. Selecteer Bastion in Bewerkingen.

  4. Voer de gebruikersnaam en het wachtwoord in die u hebt ingevoerd bij het maken van de virtuele machine.

  5. Selecteer Verbinding maken.

  6. Open Windows PowerShell op de server nadat u verbinding hebt gemaakt.

  7. Voer nslookup <storage-account-name>.blob.core.windows.net in. Vervang <de naam> van het opslagaccount door de naam van het opslagaccount dat u in de vorige stappen hebt gemaakt. In het volgende voorbeeld ziet u de uitvoer van de opdracht.

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    storage1.privatelink.blob.core.windows.net
    Address:  10.0.0.10
    Aliases:  mystorageaccount.blob.core.windows.net
    

    Er wordt een privé-IP-adres van 10.0.0.10 geretourneerd voor de naam van het opslagaccount. Dit adres bevindt zich in het subnet-1-subnet van het virtuele netwerk vnet-1 dat u eerder hebt gemaakt.

  8. Installeer Microsoft Azure Storage Explorer op de virtuele machine.

  9. Selecteer Voltooien nadat Microsoft Azure Storage Explorer is geïnstalleerd. Laat het selectievakje aangevinkt om de toepassing te openen.

  10. Selecteer het powerplugsymbool om het dialoogvenster Resource selecteren in de linkerwerkbalk te openen.

  11. Selecteer in Resource selecteren het opslagaccount of de service om een verbinding in Microsoft Azure Storage Explorer toe te voegen aan uw opslagaccount dat u in de vorige stappen hebt gemaakt.

  12. Selecteer in het scherm Verbindingsmethode selecteren de verbindingsreeks en vervolgens Volgende.

  13. Plak in het vak onder Verbindingsreeks de verbindingsreeks uit het opslagaccount dat u in de vorige stappen hebt gekopieerd. De naam van het opslagaccount wordt automatisch ingevuld in het vak onder Weergavenaam.

  14. Selecteer Volgende.

  15. Controleer of de instellingen juist zijn in Samenvatting.

  16. Selecteer Verbinden

  17. Selecteer uw opslagaccount in het menu Opslagaccounts in het menu Explorer.

  18. Vouw het opslagaccount en vervolgens BlobContainers uit.

  19. De container die u eerder hebt gemaakt, wordt weergegeven.

  20. Sluit de verbinding met vm-1.

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen.

  1. Zoek en selecteer Resourcegroepen in de Azure-portal.

  2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

  3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

  4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie hebt u geleerd hoe u het volgende kunt maken:

  • Een virtueel netwerk en Bastion-host.

  • Een virtuele machine.

  • Opslagaccount en een container.

Meer informatie over het maken van verbinding met een Azure Cosmos DB-account via een privé-eindpunt van Azure: