Delen via


Zelfstudie: Netwerktoegang tot PaaS-resources beperken met service-eindpunten voor virtuele netwerken

Met service-eindpunten voor virtuele netwerken kunt u de netwerktoegang tot sommige Azure-servicebronnen beperken tot een subnet van een virtueel netwerk. U kunt ook internettoegang tot de resources verwijderen. Service-eindpunten zorgen voor een rechtstreekse verbinding van uw virtuele netwerk met ondersteunde Azure-services, zodat u de privéadresruimte van uw virtuele netwerk kunt gebruiken voor toegang tot de Azure-services. Verkeer dat bestemd is voor Azure-resources via de service-eindpunten blijft altijd op het Microsoft Azure-backbone-netwerk.

Diagram van Azure-resources die zijn gemaakt in de zelfstudie.

In deze zelfstudie leert u het volgende:

  • Een virtueel netwerk maken met één subnet
  • Een subnet toevoegen en een service-eindpunt inschakelen
  • Een Azure-resource maken en alleen toegang ertoe toestaan vanaf een subnet
  • Een virtuele machine (VM) implementeren op elk subnet
  • Toegang tot een resource vanaf een subnet bevestigen
  • Bevestigen dat toegang wordt geweigerd aan een resource vanaf een subnet en internet

Vereisten

Een service-eindpunt inschakelen

Een virtueel netwerk en een Azure Bastion-host maken

Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Bastion-host:

  1. Zoek en selecteer virtuele netwerken in de portal.

  2. Selecteer + Maken op de pagina Virtuele netwerken.

  3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer Nieuw maken.
    Voer test-rg in voor de naam.
    Selecteer OK.
    Exemplaardetails
    Naam Voer vnet-1 in.
    Regio Selecteer VS - oost 2.

    Schermopname van het tabblad Basisinformatie voor het maken van een virtueel netwerk in Azure Portal.

  4. Selecteer Volgende om door te gaan naar het tabblad Beveiliging.

  5. Selecteer Azure Bastion in de sectie Azure Bastion inschakelen.

    Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion? voor meer informatie.

    Notitie

    De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

  6. Voer in Azure Bastion de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Azure Bastion-hostnaam Voer bastion in.
    Openbaar IP-adres van Azure Bastion Selecteer Een openbaar IP-adres maken.
    Voer public-ip-bastion in naam in.
    Selecteer OK.

    Schermopname van opties voor het inschakelen van een Azure Bastion-host als onderdeel van het maken van een virtueel netwerk in Azure Portal.

  7. Selecteer Volgende om door te gaan naar het tabblad IP-adressen.

  8. Selecteer in het adresruimtevak in Subnetten het standaardsubnet .

  9. Voer in het subnet Bewerken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Subnetdoel Laat de standaardwaarde standaard staan.
    Naam Voer subnet-1 in.
    IPv4
    IPv4-adresbereik Laat de standaardwaarde 10.0.0.0/16 staan.
    Beginadres Laat de standaardwaarde 10.0.0.0 staan.
    Tekengrootte Laat de standaardwaarde /24 (256 adressen) staan.

    Schermopname van configuratiedetails voor een subnet.

  10. Selecteer Opslaan.

  11. Selecteer Beoordelen en maken onderaan het venster. Wanneer de validatie is geslaagd, selecteert u Maken.

Service-eindpunten worden ingeschakeld per service, per subnet.

  1. Zoek in het zoekvak boven aan de portalpagina naar Virtueel netwerk. Selecteer Virtuele netwerken in de zoekresultaten.

  2. Selecteer vnet-1 in virtuele netwerken.

  3. Selecteer Subnetten in de sectie Instellingen van vnet-1.

  4. Selecteer + Subnet.

  5. Voer op de pagina Subnet toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Naam privé subnet
    Subnetadresbereik Laat de standaardwaarde 10.0.2.0/24 staan.
    SERVICE-EINDPUNTEN
    Services Selecteer Microsoft.Storage
  6. Selecteer Opslaan.

Let op

Zie Subnetinstellingen wijzigen voordat u een servicepunt voor een bestaand subnet met resources inschakelt.

Netwerktoegang voor een subnet beperken

Standaard kunnen alle exemplaren van virtuele machines in een subnet communiceren met alle resources. U kunt de communicatie naar en van alle bronnen in een subnet beperken door een netwerkbeveiligingsgroep te maken en deze aan het subnet te koppelen.

  1. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

  2. Selecteer + Maken in netwerkbeveiligingsgroepen.

  3. Voer op het tabblad Basisbeginselen van netwerkbeveiligingsgroep maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam Voer nsg-opslag in.
    Regio Selecteer VS - oost 2.
  4. Selecteer Controleren en maken en selecteer vervolgens Maken.

Regels voor uitgaande netwerkbeveiligingsgroep (NSG) maken

  1. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

  2. Selecteer nsg-storage.

  3. Selecteer uitgaande beveiligingsregels in Instellingen.

  4. Selecteer + Toevoegen.

  5. Maak een regel die uitgaande communicatie naar de Azure Storage-service toestaat. Voer de volgende informatie in of selecteer deze in Uitgaande beveiligingsregel toevoegen:

    Instelling Waarde
    Bron selecteer Servicetag.
    Bronservicetag Selecteer VirtualNetwork.
    Poortbereiken van bron Laat de standaardwaarde staan van *.
    Bestemming selecteer Servicetag.
    Doelservicetag Selecteer Opslag.
    Service Laat de standaardwaarde Aangepast staan.
    Poortbereiken van doel Voer 445 in.
    Protocol Selecteer Een.
    Actie Selecteer Toestaan.
    Prioriteit Laat de standaardwaarde van 100 staan.
    Naam Voer allow-storage-all in.

    Schermopname van het maken van een uitgaande beveiliging voor toegang tot opslag.

  6. Selecteer + Toevoegen.

  7. Maak een uitgaande beveiligingsregel die communicatie naar internet weigert. Deze regel overschrijft een standaardregel in alle netwerkbeveiligingsgroepen waarmee uitgaande internetcommunicatie mogelijk is. Voer de vorige stappen uit met de volgende waarden in Uitgaande beveiligingsregel toevoegen:

    Instelling Waarde
    Bron selecteer Servicetag.
    Bronservicetag Selecteer VirtualNetwork.
    Poortbereiken van bron Laat de standaardwaarde staan van *.
    Bestemming selecteer Servicetag.
    Doelservicetag selecteer Internet.
    Service Laat de standaardwaarde Aangepast staan.
    Poortbereiken van doel Voer * in.
    Protocol Selecteer Een.
    Actie Selecteer Weigeren.
    Prioriteit Laat de standaardwaarde 110 staan.
    Naam Voer deny-internet-all in.

    Schermopname van het maken van een uitgaande beveiliging om internettoegang te blokkeren.

  8. Selecteer Toevoegen.

  9. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

  10. Selecteer nsg-storage.

  11. Selecteer Subnetten in Instellingen.

  12. Selecteer + Koppelen.

  13. Selecteer vnet-1 in virtueel netwerk in subnet koppelen. Selecteer privé subnet in Subnet.

    Schermopname van het privésubnet dat is gekoppeld aan de netwerkbeveiligingsgroep.

  14. Selecteer OK.

Netwerktoegang tot een resource beperken

De stappen die nodig zijn om de netwerktoegang te beperken tot resources die zijn gemaakt via Azure-services, die zijn ingeschakeld voor service-eindpunten, variëren per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van deze zelfstudie bevat stappen voor het beperken van de netwerktoegang voor een Azure Storage-account, bijvoorbeeld.

Een opslagaccount maken

Maak een Azure Storage-account voor de stappen in dit artikel. Als u al een opslagaccount hebt, kunt u dit gebruiken.

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer + Maken.

  3. Voer op het tabblad Basisbeginselen van Een opslagaccount maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectgegevens
    Abonnement Selecteer uw Azure-abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Naam van het opslagaccount Voer opslag1 in. Als de naam niet beschikbaar is, voert u een unieke naam in.
    Locatie Selecteer (VS) VS - oost 2.
    Prestaties Laat de standaardwaarde Standard staan.
    Redundantie Selecteer Lokaal redundante opslag (LRS).
  4. Selecteer Beoordelen.

  5. Selecteer Maken.

Een bestandsshare maken in het opslagaccount

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer in Opslagaccounts het opslagaccount dat u in de vorige stap hebt gemaakt.

  3. Selecteer bestandsshares in gegevensopslag.

  4. Selecteer + Bestandsshare.

  5. Voer de volgende gegevens in of selecteer deze in nieuwe bestandsshare:

    Instelling Weergegeven als
    Naam Voer de bestandsshare in.
    Laag Laat de standaardinstelling voor geoptimaliseerde transacties staan.
  6. Selecteer Volgende: Back-up.

  7. Schakel back-up inschakelen uit.

  8. Selecteer Controleren en maken en selecteer vervolgens Maken.

Netwerktoegang tot een subnet beperken

Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk, inclusief internet. U kunt de netwerktoegang vanaf internet en alle andere subnetten in alle virtuele netwerken beperken (met uitzondering van het subnet-privésubnet in het virtuele vnet-1-netwerk .)

Netwerktoegang tot een subnet beperken:

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer uw opslagaccount.

  3. Selecteer Netwerken in Beveiliging en netwerken.

  4. Selecteer op het tabblad Firewalls en virtuele netwerken de optie Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen in openbare netwerktoegang.

  5. Selecteer + Bestaand virtueel netwerk toevoegen in virtuele netwerken.

  6. Voer in Netwerken toevoegen de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Abonnement Selecteer uw abonnement.
    Virtuele netwerken Selecteer vnet-1.
    Subnetten Selecteer privé subnet.

    Schermopname van de beperking van het opslagaccount naar het subnet en het virtuele netwerk dat u eerder hebt gemaakt.

  7. Selecteer Toevoegen.

  8. Selecteer Opslaan om de configuraties van het virtuele netwerk op te slaan.

    Schermopname van het scherm opslagaccount en bevestiging van subnetbeperking.

Virtuele machines implementeren in subnetten

Als u de netwerktoegang tot een opslagaccount wilt testen, implementeert u een virtuele machine in elk subnet.

Virtuele testmachine maken

Met de volgende procedure maakt u een virtuele testmachine (VM) met de naam vm-1 in het virtuele netwerk.

  1. Zoek en selecteer virtuele machines in de portal.

  2. Selecteer + Maken in virtuele machines en vervolgens de virtuele Azure-machine.

  3. Voer op het tabblad Basisbeginselen van Een virtuele machine maken de volgende gegevens in of selecteer deze:

    Instelling Weergegeven als
    Projectdetails
    Abonnement Selecteer uw abonnement.
    Resourcegroep Selecteer test-rg.
    Exemplaardetails
    Virtual machine name Voer vm-1 in.
    Regio Selecteer VS - oost 2.
    Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist.
    Beveiligingstype Laat de standaardwaarde van Standard staan.
    Afbeelding Selecteer Windows Server 2022 Datacenter - x64 Gen2.
    VM-architectuur Laat de standaardwaarde x64 staan.
    Tekengrootte Selecteer een grootte.
    Beheerdersaccount
    Authentication type Selecteer Wachtwoord.
    Username Voer azureuser in.
    Wachtwoord Voer een wachtwoord in.
    Wachtwoord bevestigen Voer het wachtwoord opnieuw in.
    Regels voor binnenkomende poort
    Openbare poorten voor inkomend verkeer Selecteer Geen.
  4. Selecteer het tabblad Netwerken boven aan de pagina.

  5. Voer de volgende gegevens in of selecteer deze op het tabblad Netwerken :

    Instelling Weergegeven als
    Netwerkinterface
    Virtueel netwerk Selecteer vnet-1.
    Subnet Selecteer subnet-1 (10.0.0.0/24).
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Selecteer Geavanceerd.
    Netwerkbeveiligingsgroep configureren Selecteer Nieuw maken.
    Voer nsg-1 in als naam.
    Laat de rest op de standaardwaarden staan en selecteer OK.
  6. Laat de rest van de instellingen op de standaardwaarden staan en selecteer Beoordelen en maken.

  7. Controleer de instellingen en selecteer Maken.

Notitie

Virtuele machines in een virtueel netwerk met een bastionhost hebben geen openbare IP-adressen nodig. Bastion biedt het openbare IP-adres en de VM's gebruiken privé-IP's om binnen het netwerk te communiceren. U kunt de openbare IP-adressen verwijderen van virtuele machines in gehoste virtuele bastionnetwerken. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine voor meer informatie.

Notitie

Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.

Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:

  • Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
  • De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
  • Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.

Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.

Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.

De tweede virtuele machine maken

  1. Maak een tweede virtuele machine die de stappen in de vorige sectie herhaalt. Vervang de volgende waarden in Een virtuele machine maken:

    Instelling Weergegeven als
    Virtual machine name Voer vm-privé in.
    Subnet Selecteer privé subnet.
    Openbare IP Selecteer Geen.
    NIC-netwerkbeveiligingsgroep Selecteer Geen.

    Waarschuwing

    Ga pas verder met de volgende stap als de implementatie is voltooid.

Toegang tot opslagaccount bevestigen

De virtuele machine die u eerder hebt gemaakt die is toegewezen aan het subnet-privésubnet , wordt gebruikt om de toegang tot het opslagaccount te bevestigen. De virtuele machine die u in de vorige sectie hebt gemaakt die is toegewezen aan het subnet-1-subnet , wordt gebruikt om te bevestigen dat de toegang tot het opslagaccount is geblokkeerd.

Toegangssleutel voor opslagaccount ophalen

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer uw opslagaccount in Opslagaccounts.

  3. Selecteer toegangssleutels in Beveiliging en netwerken.

  4. Kopieer de waarde van sleutel1. Mogelijk moet u de knop Weergeven selecteren om de sleutel weer te geven.

    Schermopname van de toegangssleutel van het opslagaccount.

  5. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  6. Selecteer vm-privé.

  7. Selecteer Bastion in Bewerkingen.

  8. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

  9. Open Windows PowerShell. Gebruik het volgende script om de Azure-bestandsshare toe te wijzen aan station Z.

    • Vervang <storage-account-key> door de sleutel die u in de vorige stap hebt gekopieerd.

    • Vervang <storage-account-name> door de naam van uw opslagaccount. In dit voorbeeld is het opslag8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell retourneert uitvoer die er ongeveer zo uitziet als in dit voorbeeld:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    De Azure-bestandsshare is toegewezen aan station Z.

  10. Sluit de Bastion-verbinding met vm-privé.

Bevestigen dat toegang tot opslagaccount wordt geweigerd

Van vm-1

  1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

  2. Selecteer vm-1.

  3. Selecteer Bastion in Bewerkingen.

  4. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

  5. Herhaal de vorige opdracht om het station toe te wijzen aan de bestandsshare in het opslagaccount. Mogelijk moet u de toegangssleutel van het opslagaccount opnieuw kopiëren voor deze procedure:

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
    
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
    
  6. U ontvangt het volgende foutbericht:

    New-PSDrive : Access is denied
    At line:1 char:5
    +     New-PSDrive @map
    +     ~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
        + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    
  7. Sluit de Bastion-verbinding met vm-1.

Vanaf een lokale computer

  1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

  2. Selecteer uw opslagaccount in Opslagaccounts.

  3. Selecteer bestandsshares in gegevensopslag.

  4. Selecteer bestandsshare.

  5. Selecteer Bladeren in het linkermenu.

  6. U ontvangt het volgende foutbericht:

    Schermopname van het foutbericht 'Toegang geweigerd'.

Notitie

De toegang wordt geweigerd omdat uw computer zich niet in het subnet-privésubnet van het virtuele netwerk vnet-1 bevindt.

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen.

  1. Zoek en selecteer Resourcegroepen in de Azure-portal.

  2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

  3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

  4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

Volgende stappen

In deze zelfstudie:

  • U hebt een service-eindpunt ingeschakeld voor een subnet van een virtueel netwerk.

  • U hebt geleerd dat u service-eindpunten kunt inschakelen voor vanaf meerdere Azure-services geïmplementeerde resources.

  • U hebt een Azure Storage-account gemaakt en de netwerktoegang tot het opslagaccount beperkt tot alleen resources binnen een subnet van een virtueel netwerk.

Zie voor meer informatie over service-eindpunten Overzicht voor service-eindpunten en Subnetten beheren.

Als u meerdere virtuele netwerken in uw account hebt, wilt u mogelijk verbinding maken tussen deze netwerken, zodat resources met elkaar kunnen communiceren. Ga verder met de volgende zelfstudie om te leren hoe u virtuele netwerken met elkaar kunt verbinden.