Toegangsbeheerlijsten voor eindpunten beheren met Behulp van PowerShell in het klassieke implementatiemodel

U kunt network Access Control-lijsten (ACL's) voor eindpunten maken en beheren met behulp van Azure PowerShell of in de Beheerportal. In dit onderwerp vindt u procedures voor algemene ACL-taken die u kunt uitvoeren met behulp van PowerShell. Zie Azure Management-cmdlets Azure PowerShell een lijst met nieuwe cmdlets. Zie What is a Network Access Control List (ACL)? voor meer informatie over ACL's. Als u uw ACL's wilt beheren met behulp van de Beheerportal, zie Eindpunten instellen op een virtuele machine.

Netwerk-ACL's beheren met behulp van Azure PowerShell

U kunt Azure PowerShell cmdlets gebruiken om Network Access Control Lists (ACL's) te maken, te verwijderen en te configureren. We hebben enkele voorbeelden gegeven van een aantal manieren waarop u een ACL kunt configureren met behulp van PowerShell.

Als u een volledige lijst met ACL PowerShell-cmdlets wilt ophalen, kunt u een van de volgende opties gebruiken:

Get-Help *AzureACL*
Get-Command -Noun AzureACLConfig

Een netwerk-ACL maken met regels die toegang vanaf een extern subnet toestaan

In het onderstaande voorbeeld ziet u een manier om een nieuwe ACL met regels te maken. Deze ACL wordt vervolgens toegepast op een eindpunt van een virtuele machine. Met de ACL-regels in het onderstaande voorbeeld wordt toegang vanaf een extern subnet toegestaan. Als u een nieuwe netwerk-ACL wilt maken met regels voor toestaan voor een extern subnet, opent u een Azure PowerShell ISE. Kopieer en plak het onderstaande script, configureer het script met uw eigen waarden en voer het script uit.

1. Maak het nieuwe netwerk-ACL-object.

    $acl1 = New-AzureAclConfig
   

2. Stel een regel in die toegang toestaat vanuit een extern subnet. In het onderstaande voorbeeld stelt u regel 100 (die prioriteit heeft boven regel 200 en hoger) in om het externe subnet 10.0.0.0/8 toegang te geven tot het eindpunt van de virtuele machine. Vervang de waarden door uw eigen configuratievereisten. De naam 'SharePoint ACL-configuratie' moet worden vervangen door de gebruiksvriendelijke naam die u deze regel wilt noemen.

    Set-AzureAclConfig –AddRule –ACL $acl1 –Order 100 `
        –Action permit –RemoteSubnet "10.0.0.0/8" `
        –Description "SharePoint ACL config"
   

3. Herhaal de cmdlet voor aanvullende regels, en vervang de waarden door uw eigen configuratievereisten. Zorg ervoor dat u het regelnummer Order wijzigt in de volgorde waarin u de regels wilt toepassen. Het lagere regelnummer heeft voorrang op het hogere getal.

    Set-AzureAclConfig –AddRule –ACL $acl1 –Order 200 `
        –Action permit –RemoteSubnet "157.0.0.0/8" `
        –Description "web frontend ACL config"
   

4. Vervolgens kunt u een nieuw eindpunt maken (Toevoegen) of de ACL instellen voor een bestaand eindpunt (Set). In dit voorbeeld voegen we een nieuw eindpunt voor de virtuele machine toe met de naam 'web' en werken we het eindpunt van de virtuele machine bij met de ACL-instellingen.

    Get-AzureVM –ServiceName $serviceName –Name $vmName `
    | Add-AzureEndpoint –Name "web" –Protocol tcp –Localport 80 - PublicPort 80 –ACL $acl1 `
    | Update-AzureVM
   

5. Combineer vervolgens de cmdlets en voer het script uit. In dit voorbeeld zien de gecombineerde cmdlets er als volgende uit:

    $acl1 = New-AzureAclConfig
    Set-AzureAclConfig –AddRule –ACL $acl1 –Order 100 `
        –Action permit –RemoteSubnet "10.0.0.0/8" `
        –Description "SharePoint ACL config"
    Set-AzureAclConfig –AddRule –ACL $acl1 –Order 200 `
        –Action permit –RemoteSubnet "157.0.0.0/8" `
        –Description "web frontend ACL config"
    Get-AzureVM –ServiceName $serviceName –Name $vmName `
    |Add-AzureEndpoint –Name "web" –Protocol tcp –Localport 80 - PublicPort 80 –ACL $acl1 `
    |Update-AzureVM
   

Een netwerk-ACL-regel verwijderen die toegang toestaat vanuit een extern subnet

In het onderstaande voorbeeld ziet u een manier om een netwerk-ACL-regel te verwijderen. Als u een netwerk-ACL-regel met regels voor toestaan voor een extern subnet wilt verwijderen, opent u een Azure PowerShell ISE. Kopieer en plak het onderstaande script, configureer het script met uw eigen waarden en voer het script uit.

1. De eerste stap is het op te halen van het netwerk-ACL-object voor het eindpunt van de virtuele machine. Vervolgens verwijdert u de ACL-regel. In dit geval verwijderen we deze op regel-id. Hiermee wordt alleen de regel-id 0 uit de ACL verwijderd. Hiermee wordt het ACL-object niet verwijderd van het eindpunt van de virtuele machine.

    Get-AzureVM –ServiceName $serviceName –Name $vmName `
    | Get-AzureAclConfig –EndpointName "web" `
    | Set-AzureAclConfig –RemoveRule –ID 0 –ACL $acl1
   

2. Vervolgens moet u het netwerk-ACL-object toepassen op het eindpunt van de virtuele machine en de virtuele machine bijwerken.

    Get-AzureVM –ServiceName $serviceName –Name $vmName `
    | Set-AzureEndpoint –ACL $acl1 –Name "web" `
    | Update-AzureVM
   

Een netwerk-ACL verwijderen van een eindpunt van een virtuele machine

In bepaalde scenario's wilt u mogelijk een netwerk-ACL-object verwijderen van een eindpunt van een virtuele machine. Als u dit wilt doen, opent u een Azure PowerShell ISE. Kopieer en plak het onderstaande script, configureer het script met uw eigen waarden en voer het script uit.

    Get-AzureVM –ServiceName $serviceName –Name $vmName `
    | Remove-AzureAclConfig –EndpointName "web" `
    | Update-AzureVM

Volgende stappen

Wat is een Network Access Control List (ACL)?