Compartilhar via


Tutorial: Restringir o acesso de rede aos recursos de PaaS com pontos de extremidade do serviço de rede virtual

Os pontos de extremidade de serviço de rede virtual permitem limitar o acesso à rede a alguns recursos de serviço do Azure para uma sub-rede da rede virtual. Você também pode remover o acesso à Internet para os recursos. Os pontos de extremidade de serviço fornecerão conexão direta de sua rede virtual a um serviço do Azure, permitindo que você use o espaço de endereço privado da sua rede virtual para acessar os serviços do Azure compatíveis. O tráfego destinado aos recursos do Azure por meio de pontos de extremidade de serviço sempre fica na rede de backbone do Microsoft Azure.

Diagrama dos recursos do Azure criados no tutorial.

Neste tutorial, você aprenderá a:

  • Criar uma rede virtual com uma sub-rede
  • Adicionar uma sub-rede e habilitar um ponto de extremidade de serviço
  • Criar um recurso do Azure e permitir o acesso à rede para ele apenas de uma sub-rede
  • Implantar uma VM (máquina virtual) para cada sub-rede
  • Confirmar o acesso a um recurso por meio de uma sub-rede
  • Confirmar se o acesso é negado para um recurso por meio de uma sub-rede e da Internet

Pré-requisitos

Habilitar um ponto de extremidade de serviço

Criar uma rede virtual e um host do Azure Bastion

O seguinte procedimento cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Bastion:

  1. No portal do Azure, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as seguintes informações:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione Criar novo.
    Insira test-rg para o nome.
    Selecione
    .
    Detalhes da instância
    Nome Insira vnet-1.
    Região Selecione Leste dos EUA 2.

    Captura de tela da guia Básico para criar uma rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança.

  5. Na seção Azure Bastion, selecione Habilitar o Azure Bastion.

    O Bastion usa seu navegador para se conectar às VMs em sua rede virtual por meio do Secure Shell (SSH) ou do Protocolo de Área de Trabalho Remota (RDP) usando os respectivos endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, confira O que é o Azure Bastion?.

    Observação

    Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

  6. Em Azure Bastion, digite ou selecione as seguintes informações:

    Configuração Valor
    Nome do host do Azure Bastion Insira bastion.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Insira public-ip-bastion em Nome.
    Selecione
    .

    Captura de tela das opções para habilitar um host do Azure Bastion como parte da criação de uma rede virtual no portal do Azure.

  7. Selecione Avançar para prosseguir para a guia Endereços IP.

  8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.

  9. Em Editar sub-rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Finalidade da sub-rede Mantenha o padrão como Padrão.
    Nome Insira sub-rede-1.
    IPv4
    Intervalo de endereços IPv4 Mantenha o padrão de 10.0.0.0/16.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho Deixe o padrão de /24 (256 endereços).

    Captura de tela dos detalhes de configuração de uma sub-rede.

  10. Selecione Salvar.

  11. Selecione Examinar + criar na parte inferior da página. Quando a validação for aprovada na validação, selecione Criar.

Pontos de extremidade de serviço são habilitados por serviço, por sub-rede.

  1. Na caixa de pesquisa na parte superior do portal, pesquise Rede virtual. Selecione Redes virtuais nos resultados da pesquisa.

  2. Em Redes virtuais, selecione vnet-1.

  3. Na seção Configurações de vnet-1, selecione Sub-redes.

  4. Selecione + Sub-rede.

  5. Na página Adicionar sub-rede, insira ou selecione as seguintes informações:

    Configuração Valor
    Nome subnet-private
    Intervalo de endereços da sub-rede Matenha o padrão de 10.0.2.0/24.
    PONTOS DE EXTREMIDADE DE SERVIÇO
    Serviços Selecione Microsoft.Storage
  6. Selecione Salvar.

Cuidado

Antes de habilitar um ponto de extremidade de serviço para uma sub-rede existente que tenha recursos nela, consulte Alterar as configurações de sub-rede.

Restringir o acesso à rede de uma sub-rede

Por padrão, todas as instâncias de máquina virtual em uma sub-rede podem se comunicar com qualquer recurso. Você pode limitar a comunicação com todos os recursos em uma sub-rede, criando um grupo de segurança de rede e o associando à sub-rede.

  1. Na caixa de pesquisa na parte superior da página do portal, procure Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Em Grupos de segurança de rede, selecione + Criar.

  3. Em Criar grupo de segurança de rede, insira ou selecione estas informações na guia Básico:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome Insira nsg-storage.
    Região Selecione Leste dos EUA 2.
  4. Selecione Examinar + criare Criar.

Criar regras de NSG (grupo de segurança de rede) de saída

  1. Na caixa de pesquisa na parte superior da página do portal, procure Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  2. Selecione nsg-storage.

  3. Selecione Regras de segurança de saída em Configurações.

  4. Selecione + Adicionar.

  5. Crie uma regra que permita a comunicação de saída para o serviço de Armazenamento do Azure. Insira ou selecione as informações a seguir em Adicionar regra de segurança de saída:

    Configuração Valor
    Fonte selecione Marca de Serviço.
    Marca de serviço de origem Selecione VirtualNetwork.
    Intervalos de portas de origem Mantenha o padrão de *.
    Destino selecione Marca de Serviço.
    Marca de serviço de destino Selecione Armazenamento.
    Serviço Mantenha o padrão de Personalizado.
    Intervalos de portas de destino Insira 445.
    Protocolo Selecione Qualquer.
    Ação selecione Permitir.
    Prioridade Mantenha o padrão de 100.
    Nome Insira allow-storage-all.

    Captura de tela da criação de uma segurança de saída para acessar o armazenamento.

  6. Selecione + Adicionar.

  7. Crie outra regra de segurança de saída que nega a comunicação com a Internet. Essa regra substitui uma regra padrão em todos os grupos de segurança de rede que permite a comunicação de saída à Internet. Conclua as etapas anteriores com os valores a seguir em Incluir regra de segurança de saída:

    Configuração Valor
    Fonte selecione Marca de Serviço.
    Marca de serviço de origem Selecione VirtualNetwork.
    Intervalos de portas de origem Mantenha o padrão de *.
    Destino selecione Marca de Serviço.
    Marca de serviço de destino selecione Internet.
    Serviço Mantenha o padrão de Personalizado.
    Intervalos de portas de destino Digite *.
    Protocolo Selecione Qualquer.
    Ação Selecione Negar.
    Prioridade Mantenha o padrão 110.
    Nome Insira deny-internet-all.

    Captura de tela da criação de uma segurança de saída para bloquear o acesso à Internet.

  8. Selecione Adicionar.

  9. Na caixa de pesquisa na parte superior da página do portal, procure Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.

  10. Selecione nsg-storage.

  11. Selecione Sub-redes em Configurações.

  12. Selecione + Associar.

  13. Em Sub-rede associada, selecione vnet-1 em Rede virtual. Selecione subnet-private na Sub-rede.

    Captura de tela da sub-rede privada associada ao grupo de segurança de rede.

  14. Selecione OK.

Restringir o acesso à rede para um recurso

As etapas necessárias para restringir o acesso à rede a recursos criados por meio dos serviços do Azure, que são habilitados para pontos de extremidade de serviço, variam entre os serviços. Confira a documentação de serviços individuais para obter as etapas específicas para cada serviço. O restante deste tutorial inclui etapas para restringir o acesso de rede para uma conta de Armazenamento do Microsoft Azure como exemplo.

Criar uma conta de armazenamento

Crie uma conta de Armazenamento do Azure para as etapas neste artigo. Se você já tiver uma conta de armazenamento, poderá usá-la.

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na guia Noções Básicas de Criar uma conta de armazenamento, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura do Azure.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Nome da conta de armazenamento Insira storage1. Se o nome não estiver disponível, insira um nome exclusivo.
    Location Selecione (EUA) Leste dos EUA 2.
    Desempenho Deixe o padrão Standard.
    Redundância Selecione LRS (armazenamento com redundância local).
  4. Selecione Examinar.

  5. Selecione Criar.

Criar um compartilhamento de arquivos na conta de armazenamento

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

  2. Em Contas de armazenamento, selecione a conta de armazenamento que você criou na etapa anterior.

  3. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.

  4. Selecione +Compartilhamento de arquivos.

  5. Insira ou selecione as informações a seguir em Novo compartilhamento de arquivo:

    Configuração Valor
    Nome Insira compartilhamento de arquivo.
    Camada Mantenha o padrão de Transação otimizada.
  6. Selecione Avançar: Backup.

  7. Desmarque Habilitar backup.

  8. Selecione Examinar + criare Criar.

Restringir o acesso à rede para uma sub-rede

Por padrão, as contas de armazenamento aceitam conexões de clientes em qualquer rede, incluindo a Internet. Você pode restringir o acesso à rede da Internet e todas as outras sub-redes em todas as redes virtuais (exceto a sub-rede subnet-private na rede virtual vnet-1.)

Para restringir o acesso à rede para uma sub-rede:

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

  2. Selecione sua conta de armazenamento.

  3. Em Segurança + rede, selecione Rede.

  4. Na guia Firewalls e redes virtuais, selecione Habilitado em redes virtuais e endereços IP selecionados em Acesso à rede pública.

  5. Em Redes virtuais, selecione + Adicionar rede virtual existente.

  6. Em Adicionar redes, insira ou selecione as informações a seguir:

    Configuração Valor
    Subscription Selecione sua assinatura.
    Redes virtuais Selecione vnet-1.
    Sub-redes Selecione subnet-private.

    Captura de tela da restrição da conta de armazenamento à sub-rede e à rede virtual criada anteriormente.

  7. Selecione Adicionar.

  8. Selecione Salvar para salvar as configurações de rede virtual.

    Captura de tela da tela da conta de armazenamento e confirmação de restrição da sub-rede.

Implantar máquinas virtuais em sub-redes

Para testar o acesso da rede a uma conta de armazenamento, implante uma máquina virtual em cada sub-rede.

Criar máquina virtual de teste

O procedimento a seguir cria uma máquina virtual de teste (VM) chamada vm-1 na rede virtual.

  1. No portal, pesquise e selecione Máquinas virtuais.

  2. Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.

  3. Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as informações a seguir:

    Configuração Valor
    Detalhes do projeto
    Subscription Selecione sua assinatura.
    Resource group Selecione test-rg.
    Detalhes da instância
    Nome da máquina virtual Insira vm-1.
    Região Selecione Leste dos EUA 2.
    Opções de disponibilidade Selecione Nenhuma redundância de infraestrutura necessária.
    Tipo de segurança Deixe o padrão de Standard.
    Imagem Selecione Windows Server 2022 Datacenter – x64 Gen2.
    Arquitetura de VMs; Mantenha o padrão x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Tipo de autenticação Selecione Senha.
    Nome de Usuário insira azureuser.
    Senha Digite uma senha.
    Confirmar senha Digitar novamente a senha.
    Regras de porta de entrada
    Porta de entrada públicas Selecione Nenhum.
  4. Selecione a guia Rede na parte superior da página.

  5. Insira ou selecione as seguintes informações na guia Rede:

    Configuração Valor
    Interface de rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione sub-rede-1 (10.0.0.0/24).
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Avançado.
    Configurar um grupo de segurança de rede Selecione Criar novo.
    Insira nsg-1 no nome.
    Deixe os demais valores como padrão e selecione OK.
  6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

  7. Examine as configurações e selecione Criar.

Observação

Máquinas virtuais em uma rede virtual com um bastion host não precisam de endereços IP públicos. O Bastion fornece o IP público e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas no bastion. Para obter mais informações, confira dissociar um endereço IP público de uma VM do Azure.

Observação

O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso da Gateway da NAT do Azure é atribuído à sub-rede da VM.

As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.

Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.

Criar a segunda máquina virtual

  1. Crie uma segunda máquina virtual repetindo as etapas na seção anterior. Substitua os valores a seguir em Criar uma máquina virtual:

    Configuração Valor
    Nome da máquina virtual Insira vm-private.
    Sub-rede Selecione subnet-private.
    IP público Selecione Nenhum.
    Grupo de segurança de rede da NIC Selecione Nenhum.

    Aviso

    Não prossiga para a próxima etapa até que a implantação seja concluída.

Confirmar acesso à conta de armazenamento

A máquina virtual que você criou anteriormente atribuída à sub-rede subnet-private é usada para confirmar o acesso à conta de armazenamento. A máquina virtual que você criou na seção anterior atribuída à sub-rede subnet-1 é usada para confirmar que o acesso à conta de armazenamento está bloqueada.

Obter chave de acesso da conta de armazenamento

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

  2. Em Conta de armazenamento, selecione sua conta de armazenamento.

  3. Em Segurança + rede, selecione Chaves de acesso.

  4. Copie o valor de key1. Pode ser necessário selecionar o botão Mostrar para exibir a chave.

    Captura de tela da chave de acesso da conta de armazenamento.

  5. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  6. Selecione vm-private.

  7. Selecione Bastion em Operações.

  8. Insira o nome de usuário e a senha que você especificou ao criar a máquina virtual. Selecione Conectar.

  9. Abra o Windows PowerShell. Use o script a seguir para mapear o compartilhamento de arquivo do Azure para a unidade Z.

    • Substitua <storage-account-key> pela chave que você copiou na etapa anterior.

    • Substitua <storage-account-name> com o nome da sua conta de armazenamento. Neste exemplo, é storage8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    O PowerShell retorna uma saída semelhante à seguinte saída de exemplo:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    O compartilhamento de arquivos do Azure foi mapeado com êxito para a unidade Z.

  10. Feche a conexão do Bastion com vm-private.

Confirmar que o acesso é negado para a conta de armazenamento

Da vm-1

  1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione vm-1.

  3. Selecione Bastion em Operações.

  4. Insira o nome de usuário e a senha que você especificou ao criar a máquina virtual. Selecione Conectar.

  5. Repita o comando anterior para tentar mapear a unidade para o compartilhamento de arquivo na conta de armazenamento. Pode ser necessário copiar a chave de acesso da conta de armazenamento novamente para este procedimento:

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
    
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
    
  6. Você deve receber a seguinte mensagem de erro:

    New-PSDrive : Access is denied
    At line:1 char:5
    +     New-PSDrive @map
    +     ~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
        + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
    
  7. Feche a conexão do Bastion para vm-1.

De um computador local

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de Armazenamento nos resultados da pesquisa.

  2. Em Conta de armazenamento, selecione sua conta de armazenamento.

  3. Em Armazenamento de dados, selecione Compartilhamentos de arquivos.

  4. Selecione file-share.

  5. Selecione Procurar no menu à esquerda.

  6. Você deve receber a seguinte mensagem de erro:

    Captura de tela da mensagem de erro acesso negado.

Observação

O acesso é negado porque seu computador não está na sub-rede privada subnet-private da rede virtual vnet-1.

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

  1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos .

  4. Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.

Próximas etapas

Neste tutorial:

  • Você habilitou um ponto de extremidade de serviço para uma sub-rede de rede virtual.

  • Você aprendeu que pode habilitar pontos de extremidade de serviço para recursos implantados a partir de vários serviços do Azure.

  • Você criou uma conta de Armazenamento do Microsoft Azure e restringiu o acesso à rede para conta de armazenamento apenas aos recursos em uma sub-rede de rede virtual.

Para saber mais sobre pontos de extremidade de serviços, consulte Visão geral de pontos de extremidade de serviço e Gerenciar sub-redes.

Se você tiver várias redes virtuais na sua conta, talvez queira estabelecer a conectividade entre elas para que os recursos possam se comunicar entre si. Para saber mais sobre como conectar redes virtuais, siga para o próximo tutorial.