Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Rozpocznij pracę z obwodem zabezpieczeń sieci, tworząc obwód zabezpieczeń sieci dla usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure. Obwód zabezpieczeń sieci umożliwia zasobom usługi Azure PaaS (PaaS) komunikowanie się w ramach jawnej zaufanej granicy. Następnie należy utworzyć i zaktualizować skojarzenie zasobów PaaS w profilu obwodowym zabezpieczeń sieci. Następnie utworzysz i zaktualizujesz reguły dostępu obwodowego zabezpieczeń sieci. When you're finished, you delete all resources created in this quickstart.
Ważne
Obwód zabezpieczeń sieci jest w publicznej wersji zapoznawczej i dostępny we wszystkich regionach chmury publicznej platformy Azure. Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Najnowszy interfejs wiersza polecenia platformy Azure lub możesz użyć usługi Azure Cloud Shell w portalu.
- Ten artykuł wymaga wersji 2.38.0 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
- Po uaktualnieniu do najnowszej wersji Azure CLI zaimportuj polecenia dotyczące perymetru zabezpieczeń sieci przy użyciu
az extension add --name nsp.
Nawiązywanie połączenia z kontem platformy Azure i wybieranie subskrypcji
Aby rozpocząć, połącz się z usługą Azure Cloud Shell lub użyj lokalnego środowiska interfejsu wiersza polecenia.
W przypadku korzystania z usługi Azure Cloud Shell zaloguj się i wybierz swoją subskrypcję.
Jeśli zainstalowałeś lokalnie CLI (interfejs wiersza polecenia), zaloguj się, używając następującego polecenia:
# Sign in to your Azure account az loginOnce in your shell, select your active subscription locally with the following command:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Create a resource group and key vault
Przed utworzeniem perymetru zabezpieczeń sieci należy utworzyć grupę zasobów i zasób magazynu kluczy za pomocą polecenia az group create i az keyvault create.
W tym przykładzie utworzono grupę zasobów o nazwie resource-group w lokalizacji WestCentralUS oraz magazyn kluczy o nazwie key-vault-YYYYDDMM w grupie zasobów za pomocą następujących poleceń:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Tworzenie obwodu zabezpieczeń sieci
W tym kroku utwórz obwód zabezpieczeń sieci za pomocą polecenia az network perimeter create .
Uwaga
Nie należy umieszczać żadnych danych osobowych lub poufnych w regułach obwodu zabezpieczeń sieci ani w innej konfiguracji obwodowej zabezpieczeń sieci.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Tworzenie i aktualizowanie skojarzenia zasobów PaaS z nowym profilem
W tym kroku utworzysz nowy profil i skojarzysz zasób PaaS, usługę Azure Key Vault, z profilem przy użyciu poleceń az network perimeter profile create i az network perimeter association create.
Uwaga
For the --private-link-resource and --profile parameter values, replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the values for the key vault and the profile ID, respectively.
Utwórz nowy profil dla obwodu zabezpieczeń sieci za pomocą następującego polecenia:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterSkojarz usługę Azure Key Vault (zasób PaaS) z profilem obwodowym zabezpieczeń sieci za pomocą następujących poleceń.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Update association by changing the access mode to enforced with the az network perimeter association create command as follows:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Zarządzanie regułami dostępu do perymetru bezpieczeństwa sieci
W tym kroku utworzysz, zaktualizujesz i usuniesz reguły dostępu obwodowego zabezpieczeń sieci z prefiksami publicznych adresów IP za pomocą polecenia az network perimeter profile access-rule create .
Utwórz regułę dostępu przychodzącego z prefiksem publicznego adresu IP dla profilu utworzonego za pomocą następującego polecenia:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Zaktualizuj regułę dostępu przychodzącego przy użyciu innego prefiksu publicznego adresu IP za pomocą następującego polecenia:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"If you need to delete an access rule, use the az network perimeter profile access-rule delete command:
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Uwaga
Jeśli tożsamość zarządzana nie jest przypisana do zasobu, który go obsługuje, dostęp wychodzący do innych zasobów w obrębie tego samego obwodu zostanie odrzucony. Reguły ruchu przychodzącego oparte na subskrypcji przeznaczone do zezwalania na dostęp z tego zasobu nie zostaną zastosowane.
Usuwanie wszystkich zasobów
To delete a network security perimeter and other resources in this quickstart, use the following az network perimeter commands:
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Uwaga
Removing your resource association from the network security perimeter results in access control falling back to the existing resource firewall configuration. Może to spowodować zezwolenie/odmowę dostępu zgodnie z konfiguracją zapory zasobów. Jeśli parametr PublicNetworkAccess jest ustawiony na Wartość SecuredByPerimeter i skojarzenie zostało usunięte, zasób przejdzie w stan zablokowany. Aby uzyskać więcej informacji, zobacz Przejście do obwodu zabezpieczeń sieci na platformie Azure.