Zarządzanie listami kontroli dostępu do punktu końcowego przy użyciu programu PowerShell w klasycznym modelu wdrażania
Listy ACL (Network Access Control) dla punktów końcowych można tworzyć i zarządzać nimi przy użyciu Azure PowerShell lub w portal zarządzania. W tym temacie znajdziesz procedury typowych zadań listy ACL, które można wykonać przy użyciu programu PowerShell. Aby uzyskać listę Azure PowerShell cmdlet, zobacz Azure Management Cmdlets (Polecenia cmdlet usługi Azure Management). Aby uzyskać więcej informacji na temat list ACL, zobacz Co to jest lista Access Control sieci (ACL)?. Jeśli chcesz zarządzać swoimi adresami ACL przy użyciu portal zarządzania, zobacz How to Set Up Endpoints to a Virtual Machine (Jak skonfigurować punkty końcowe dla maszyny wirtualnej).
Zarządzanie sieciową aclą ACL przy użyciu Azure PowerShell
Za pomocą Azure PowerShell cmdlet można tworzyć, usuwać i konfigurować (ustawiać) listy Access Control sieci (ACL). Poniżej przedstawiono kilka przykładów sposobów konfigurowania listy ACL przy użyciu programu PowerShell.
Aby pobrać pełną listę poleceń cmdlet programu PowerShell listy ACL, można użyć jednej z następujących czynności:
Get-Help *AzureACL*
Get-Command -Noun AzureACLConfig
Tworzenie sieciowej listy ACL z regułami, które zezwalają na dostęp z podsieci zdalnej
W poniższym przykładzie pokazano sposób tworzenia nowej listy ACL zawierającej reguły. Ta listy ACL jest następnie stosowana do punktu końcowego maszyny wirtualnej. Reguły listy ACL w poniższym przykładzie umożliwią dostęp z podsieci zdalnej. Aby utworzyć nową sieciową listę ACL z regułami zezwolenia dla podsieci zdalnej, otwórz Azure PowerShell ISE. Skopiuj i wklej poniższy skrypt, konfigurując skrypt przy użyciu własnych wartości, a następnie uruchom skrypt.
Utwórz nowy obiekt sieciowej listy ACL.
$acl1 = New-AzureAclConfig
Ustaw regułę, która zezwala na dostęp z podsieci zdalnej. W poniższym przykładzie ustawiono regułę 100 (która ma priorytet wyższy niż reguła 200 lub wyższa), aby zezwolić zdalnej podsieci 10.0.0.0/8 na dostęp do punktu końcowego maszyny wirtualnej. Zastąp wartości własnymi wymaganiami konfiguracyjnymi. Nazwa "SharePoint konfiguracji listy ACL" powinna zostać zastąpiona przyjazną nazwą, którą chcesz wywołać tę regułę.
Set-AzureAclConfig –AddRule –ACL $acl1 –Order 100 ` –Action permit –RemoteSubnet "10.0.0.0/8" ` –Description "SharePoint ACL config"
Aby uzyskać dodatkowe reguły, powtórz polecenie cmdlet , zastępując wartości własnymi wymaganiami konfiguracji. Pamiętaj, aby zmienić numer reguły Kolejność, aby odzwierciedlić kolejność, w której mają być stosowane reguły. Mniejsza liczba reguł ma pierwszeństwo przed większą liczbą.
Set-AzureAclConfig –AddRule –ACL $acl1 –Order 200 ` –Action permit –RemoteSubnet "157.0.0.0/8" ` –Description "web frontend ACL config"
Następnie możesz utworzyć nowy punkt końcowy (Dodaj) lub ustawić listy ACL dla istniejącego punktu końcowego (Zestaw). W tym przykładzie dodamy nowy punkt końcowy maszyny wirtualnej o nazwie "internet" i zaktualizujemy punkt końcowy maszyny wirtualnej przy użyciu ustawień listy ACL.
Get-AzureVM –ServiceName $serviceName –Name $vmName ` | Add-AzureEndpoint –Name "web" –Protocol tcp –Localport 80 - PublicPort 80 –ACL $acl1 ` | Update-AzureVM
Następnie połącz polecenia cmdlet i uruchom skrypt. W tym przykładzie połączone polecenia cmdlet będą wyglądać tak:
$acl1 = New-AzureAclConfig Set-AzureAclConfig –AddRule –ACL $acl1 –Order 100 ` –Action permit –RemoteSubnet "10.0.0.0/8" ` –Description "SharePoint ACL config" Set-AzureAclConfig –AddRule –ACL $acl1 –Order 200 ` –Action permit –RemoteSubnet "157.0.0.0/8" ` –Description "web frontend ACL config" Get-AzureVM –ServiceName $serviceName –Name $vmName ` |Add-AzureEndpoint –Name "web" –Protocol tcp –Localport 80 - PublicPort 80 –ACL $acl1 ` |Update-AzureVM
Usuwanie reguły listy ACL sieci, która zezwala na dostęp z podsieci zdalnej
W poniższym przykładzie pokazano sposób usuwania reguły listy ACL sieci. Aby usunąć regułę listy ACL sieci z regułami zezwolenia dla podsieci zdalnej, otwórz Azure PowerShell ISE. Skopiuj i wklej poniższy skrypt, konfigurując skrypt przy użyciu własnych wartości, a następnie uruchom skrypt.
Pierwszym krokiem jest uzyskiwanie obiektu listy ACL sieci dla punktu końcowego maszyny wirtualnej. Następnie usuniesz regułę listy ACL. W tym przypadku usuwamy ją według identyfikatora reguły. Spowoduje to usunięcie tylko z listy ACL reguły o identyfikatorze 0. Nie usuwa obiektu listy ACL z punktu końcowego maszyny wirtualnej.
Get-AzureVM –ServiceName $serviceName –Name $vmName ` | Get-AzureAclConfig –EndpointName "web" ` | Set-AzureAclConfig –RemoveRule –ID 0 –ACL $acl1
Następnie należy zastosować obiekt listy ACL sieci do punktu końcowego maszyny wirtualnej i zaktualizować maszynę wirtualną.
Get-AzureVM –ServiceName $serviceName –Name $vmName ` | Set-AzureEndpoint –ACL $acl1 –Name "web" ` | Update-AzureVM
Usuwanie sieciowej listy ACL z punktu końcowego maszyny wirtualnej
W niektórych scenariuszach można usunąć obiekt listy ACL sieci z punktu końcowego maszyny wirtualnej. W tym celu otwórz Azure PowerShell ISE. Skopiuj i wklej poniższy skrypt, konfigurując skrypt przy użyciu własnych wartości, a następnie uruchom skrypt.
Get-AzureVM –ServiceName $serviceName –Name $vmName `
| Remove-AzureAclConfig –EndpointName "web" `
| Update-AzureVM