Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержится комплексное руководство по настройке периметра безопасности сети (NSP) с помощью Служб коммуникации Azure. NSP гарантирует, что ваши услуги связи надежно защищены от несанкционированного доступа.
Предпосылки
Активная подписка Azure.
Последняя версия Azure CLI. Для этой статьи требуется Azure CLI версии 2.38.0 или более поздней.
После установки или обновления до последней версии Azure CLI импортируйте команды периметра безопасности сети с помощью:
az extension add –name nspИмпорт команд связи Azure с помощью следующих команд:
az extension add --name communication
Настройка периметра безопасности сети для электронной почты
Шаг 1. Предоставление общего доступа к идентификатору подписки для тестирования NSP
Заполните и отправьте форму в периметре безопасности сети для служб коммуникации Azure. Необходимо указать название компании, идентификатор подписки и сценарий.
Зарегистрируйтесь для общедоступной предварительной версии периметра безопасности сети Azure. Чтобы зарегистрировать, добавьте
AllowNSPInPublicPreviewфлаг компонента в подписку.
Дополнительные сведения о добавлении флагов функций см. в статье "Настройка предварительных версий функций" в подписке Azure.
После добавления флага функции необходимо повторно зарегистрировать поставщика ресурсов
Microsoft.Networkв подписке.az provider register --namespace Microsoft.Network
Шаг 2. Создание нового ресурса или обновление существующего ресурса Служб коммуникации Azure с помощью Azure CLI/Cloud Shell
Используйте следующую команду для установки PublicNetworkAccess на SecuredByPerimeter.
az rest --method PUT --uri https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource-group-name> /providers/Microsoft.Communication/communicationServices/<acs-resource name>?api-version=2023-12-25-preview --body "{'location': 'Global', 'properties': {'dataLocation': ''<acs-datalocation>, 'publicNetworkAccess': 'SecuredByPerimeter',}}"
Шаг 3. Создание периметра безопасности сети
az network perimeter create --name <network-security-perimeter-name> --resource-group <resource-group-name> -l <location>
Шаг 4. Создание нового профиля для периметра
Укажите то же имя периметра безопасности сети, которое используется на шаге 3.
az network perimeter profile create --name <network-perimeter-profile-name> --resource-group <resource-group-name> --perimeter-name <network-security-perimeter-name>
Шаг 5. Создание правила входящего доступа с префиксом общедоступного IP-адреса для профиля, созданного с помощью следующей команды
az network perimeter profile access-rule create --name <access-rule-name> --profile-name <network-perimeter-profile-name> --perimeter-name <network-security-perimeter-name> --resource-group <resource-group-name> --address-prefixes "[192.0.2.0/24]"
Замечание
В настоящее время NSP поддерживает только IPV4-адреса. Используйте бессерверную маршрутизацию Inter-Domain (CIDR), а не только один IP-адрес. Дополнительные сведения см. в статье "Основные сведения о нотации CIDR" при проектировании виртуальных сетей и подсетей Azure.
Шаг 6. Связывание службы коммуникации Azure (ресурс PaaS) с профилем периметра безопасности сети с помощью следующих команд
Получите идентификатор ресурса Служб коммуникации Azure.
az communication show --name <acs-resource-name> --resource-group <acs-resource-group> --query 'id'Получите идентификатор профиля.
az network perimeter profile show --name <network-perimeter-profile-name> --resource-group <network-perimeter-resource-group> --perimeter-name <network-security-perimeter-name> --query 'id'Свяжите ресурс Служб коммуникации Azure с периметром безопасности сети.
Замените
<ACSArmId>и<networkSecurityPerimeterProfileId>на значения идентификатора для ACS и профиляaz network perimeter association create --name <network-perimeter-association-name> --perimeter-name <network-security-perimeter-name> --resource-group <network-perimeter-resource-group> --access-mode Enforced --private-link-resource "{id:<ACSArmId>}" --profile "{id:<networkSecurityPerimeterProfileId>}"
Шаг 7: Убедитесь, что разрешенные IP-адреса могут отправлять электронные письма при включенном NSP.
Убедитесь, что ресурс Служб коммуникации Azure подключен к проверенном домену электронной почты. Дополнительные сведения см. в разделе "Подключение проверенного домена электронной почты".
Вы можете отправить электронную почту с помощью Try Email функции на портале Azure или выполнить следующую команду с именем домена и строкой подключения к ресурсам Служб коммуникации Azure.
az communication email send --connection-string "<Connection-string>" --sender "DoNotReply@XXXXXX.azurecomm.net" --to "<Recipient-email>" --subject "Welcome to Azure Communication Services Email" --text "Test Email"