Konfigurowanie grupy zabezpieczeń aplikacji z prywatnym punktem końcowym

Prywatne punkty końcowe usługi Azure Private Link obsługują grupy zabezpieczeń aplikacji (ASG) na potrzeby zabezpieczeń sieci. Prywatne punkty końcowe można skojarzyć z istniejącą grupą ASG w bieżącej infrastrukturze wraz z maszynami wirtualnymi i innymi zasobami sieciowymi.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Jeśli nie masz jeszcze konta platformy Azure, utwórz bezpłatne konto.

• Aplikacja internetowa platformy Azure z warstwą Premium V2 lub wyższym planem usługi App Service wdrożonym w ramach subskrypcji platformy Azure.

  • Aby uzyskać więcej informacji i przykład, zobacz Szybki start: tworzenie aplikacji internetowej ASP.NET Core na platformie Azure.
  • Przykładowa aplikacja internetowa w tym artykule nosi nazwę myWebApp1979. Zastąp przykład nazwą swojej aplikacji internetowej.

• Istniejąca grupa asg w ramach subskrypcji. Aby uzyskać więcej informacji na temat grup zabezpieczeń aplikacji, zobacz Grupy zabezpieczeń aplikacji.

  • Przykładowa grupa asg używana w tym artykule nosi nazwę myASG. Zastąp przykład grupą zabezpieczeń aplikacji.

• Istniejąca sieć wirtualna i podsieć platformy Azure w ramach subskrypcji. Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnej, zobacz Szybki start: tworzenie sieci wirtualnej przy użyciu witryny Azure Portal.

  • Przykładowa sieć wirtualna używana w tym artykule nosi nazwę myVNet. Zastąp przykład siecią wirtualną.

• Zainstalowano najnowszą wersję interfejsu wiersza polecenia platformy Azure.

  • Sprawdź wersję interfejsu wiersza polecenia platformy Azure w terminalu lub oknie polecenia, uruchamiając polecenie az --version. Aby uzyskać najnowszą wersję, zobacz najnowsze informacje o wersji.
  • Jeśli nie masz najnowszej wersji interfejsu wiersza polecenia platformy Azure, zaktualizuj go, postępując zgodnie z przewodnikiem instalacji systemu operacyjnego lub platformy.

Jeśli zdecydujesz się zainstalować program PowerShell i korzystać z niego lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Aby dowiedzieć się, jaka wersja została zainstalowana, uruchom polecenie Get-Module -ListAvailable Az. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu programu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.

Tworzenie prywatnego punktu końcowego za pomocą usługi ASG

Grupę asg można skojarzyć z prywatnym punktem końcowym po jego utworzeniu. Poniższe procedury pokazują, jak skojarzyć grupę asg z prywatnym punktem końcowym po jego utworzeniu.

Portal

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź prywatny punkt końcowy. Wybierz pozycję Prywatne punkty końcowe w wynikach wyszukiwania.

3. Wybierz pozycję + Utwórz w prywatnych punktach końcowych.

4. Na karcie Podstawy w obszarze Tworzenie prywatnego punktu końcowego wprowadź lub wybierz następujące informacje:

   Wartość	Ustawienie
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz swoją grupę zasobów. W tym przykładzie jest to myResourceGroup.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź wartość myPrivateEndpoint.
   Region (Region)	Wybierz pozycję Wschodnie stany USA.

5. Wybierz pozycję Dalej: zasób w dolnej części strony.

6. Na karcie Zasób wprowadź lub wybierz następujące informacje:

   Wartość	Ustawienie
   Metoda połączenia	Wybierz pozycję Połączenie do zasobu platformy Azure w moim katalogu.
   Subskrypcja	Wybierz subskrypcję.
   Typ zasobu	Wybierz pozycję Microsoft.Web/sites.
   Zasób	Wybierz pozycję mywebapp1979.
   Docelowy podźródło	Wybierz witryny.

7. Wybierz pozycję Dalej: Sieć wirtualna w dolnej części strony.

8. Na karcie Sieć wirtualna wprowadź lub wybierz następujące informacje:

   Wartość	Ustawienie
   Sieć
   Sieć wirtualna	Wybierz pozycję myVNet.
   Podsieć	Wybierz podsieć. W tym przykładzie jest to myVNet/myBackendSubnet(10.0.0.0/24).
   Włącz zasady sieciowe dla wszystkich prywatnych punktów końcowych w tej podsieci.	Pozostaw wybraną wartość domyślną.
   Grupa zabezpieczeń aplikacji
   Grupa zabezpieczeń aplikacji	Wybierz pozycję myASG.

   

9. Wybierz pozycję Dalej: DNS w dolnej części strony.

10. Wybierz pozycję Dalej: Tagi w dolnej części strony.

11. Wybierz pozycję Dalej: Przeglądanie i tworzenie.

12. Wybierz pozycję Utwórz.

Program PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

Interfejs wiersza polecenia

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Kojarzenie grupy zabezpieczeń z istniejącym prywatnym punktem końcowym

Grupę asg można skojarzyć z istniejącym prywatnym punktem końcowym. Poniższe procedury pokazują, jak skojarzyć usługę ASG z istniejącym prywatnym punktem końcowym.

Ważne

Aby kontynuować kroki opisane w tej sekcji, musisz mieć wcześniej wdrożony prywatny punkt końcowy. Przykładowy punkt końcowy używany w tej sekcji nosi nazwę myPrivateEndpoint. Zastąp przykład prywatnym punktem końcowym.

Portal

1. Zaloguj się w witrynie Azure Portal.

2. W polu wyszukiwania w górnej części portalu wprowadź prywatny punkt końcowy. Wybierz pozycję Prywatne punkty końcowe w wynikach wyszukiwania.

3. W obszarze Prywatne punkty końcowe wybierz pozycję myPrivateEndpoint.

4. W obszarze myPrivateEndpoint w Ustawienia wybierz pozycję Grupy zabezpieczeń aplikacji.

5. W obszarze Grupy zabezpieczeń aplikacji wybierz grupę myASG w polu listy rozwijanej.

   

6. Wybierz pozycję Zapisz.

Program PowerShell

Skojarzenie grupy zabezpieczeń z istniejącym prywatnym punktem końcowym za pomocą programu Azure PowerShell jest obecnie nieobsługiwane.

Interfejs wiersza polecenia

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Następne kroki

Aby uzyskać więcej informacji na temat usługi Azure Private Link, zobacz:

• Co to jest łącze prywatne platformy Azure?