Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы
Частные конечные точки можно использовать для ограничения экспорта и импорта управляемых дисков и безопасного доступа к данным через приватный канал от клиентов в виртуальной сети Azure. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для службы управляемых дисков. Сетевой трафик между клиентами в виртуальной сети и управляемыми дисками проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость из общедоступного Интернета.
Чтобы использовать закрытые ссылки для экспорта и импорта управляемых дисков, сначала создайте ресурс доступа к диску и свяжите его с виртуальной сетью в той же подписке, создав частную конечную точку. Затем свяжите диск или снимок с экземпляром службы доступа к диску. Наконец, задайте для свойства NetworkAccessPolicy у диска или моментального снимка значение AllowPrivate. Это приведет к ограничению доступа к виртуальной сети.
Вы можете установить свойство NetworkAccessPolicy в DenyAll, чтобы предотвратить экспорт данных с диска или моментального снимка. Значением по умолчанию для свойства NetworkAccessPolicy является AllowAll.
Ограничения
- Вы не можете импортировать или экспортировать более пяти дисков или моментальных снимков одновременно с тем же объектом доступа к диску.
- Вы не можете передать на диск как объект доступа к диску, так и набор шифрования дисков.
Войдите в подписку и задайте переменные
subscriptionId=yourSubscriptionId
resourceGroupName=yourResourceGroupName
region=northcentralus
diskAccessName=yourDiskAccessForPrivateLinks
vnetName=yourVNETForPrivateLinks
subnetName=yourSubnetForPrivateLinks
privateEndPointName=yourPrivateLinkForSecureMDExportImport
privateEndPointConnectionName=yourPrivateLinkConnection
#The name of an existing disk which is the source of the snapshot
sourceDiskName=yourSourceDiskForSnapshot
#The name of the new snapshot which will be secured via Private Links
snapshotNameSecuredWithPL=yourSnapshotNameSecuredWithPL
az login
az account set --subscription $subscriptionId
Создание доступа к диску с помощью Azure CLI
az disk-access create -n $diskAccessName -g $resourceGroupName -l $region
diskAccessId=$(az disk-access show -n $diskAccessName -g $resourceGroupName --query [id] -o tsv)
Создание виртуальной сети
Политики сети, такие как группы безопасности сети (NSG), не поддерживаются для частных конечных точек. Чтобы развернуть частную конечную точку в заданной подсети, в этой подсети требуется явный параметр отключения.
az network vnet create --resource-group $resourceGroupName \
--name $vnetName \
--subnet-name $subnetName
Отключение политик частных конечных точек подсети
Azure развертывает ресурсы в подсети в виртуальной сети, поэтому необходимо обновить подсеть, чтобы отключить сетевые политики частной конечной точки.
az network vnet subnet update --resource-group $resourceGroupName \
--name $subnetName \
--vnet-name $vnetName \
--disable-private-endpoint-network-policies true
Создание частной конечной точки для объекта доступа к диску
az network private-endpoint create --resource-group $resourceGroupName \
--name $privateEndPointName \
--vnet-name $vnetName \
--subnet $subnetName \
--private-connection-resource-id $diskAccessId \
--group-ids disks \
--connection-name $privateEndPointConnectionName
Настройка частной зоны DNS
Создайте частную зону DNS для домена BLOB-объектов хранилища, создайте связь с виртуальной сетью и создайте группу зон DNS, чтобы связать частную конечную точку с частной зоной DNS.
az network private-dns zone create --resource-group $resourceGroupName \
--name "privatelink.blob.core.windows.net"
az network private-dns link vnet create --resource-group $resourceGroupName \
--zone-name "privatelink.blob.core.windows.net" \
--name yourDNSLink \
--virtual-network $vnetName \
--registration-enabled false
az network private-endpoint dns-zone-group create \
--resource-group $resourceGroupName \
--endpoint-name $privateEndPointName \
--name yourZoneGroup \
--private-dns-zone "privatelink.blob.core.windows.net" \
--zone-name disks
Создание диска, защищенного с помощью приватных ссылок
resourceGroupName=yourResourceGroupName
region=northcentralus
diskAccessName=yourDiskAccessName
diskName=yourDiskName
diskSkuName=Standard_LRS
diskSizeGB=128
diskAccessId=$(az resource show -n $diskAccessName -g $resourceGroupName --namespace Microsoft.Compute --resource-type diskAccesses --query [id] -o tsv)
az disk create -n $diskName \
-g $resourceGroupName \
-l $region \
--size-gb $diskSizeGB \
--sku $diskSkuName \
--network-access-policy AllowPrivate \
--disk-access $diskAccessId
Создание моментального снимка диска, защищенного с помощью приватных ссылок
resourceGroupName=yourResourceGroupName
region=northcentralus
diskAccessName=yourDiskAccessName
sourceDiskName=yourSourceDiskForSnapshot
snapshotNameSecuredWithPL=yourSnapshotName
diskId=$(az disk show -n $sourceDiskName -g $resourceGroupName --query [id] -o tsv)
diskAccessId=$(az resource show -n $diskAccessName -g $resourceGroupName --namespace Microsoft.Compute --resource-type diskAccesses --query [id] -o tsv)
az snapshot create -n $snapshotNameSecuredWithPL \
-g $resourceGroupName \
-l $region \
--source $diskId \
--network-access-policy AllowPrivate \
--disk-access $diskAccessId
Дальнейшие действия
- Отправка виртуального жесткого диска в Azure или копирование управляемого диска в другой регион — Azure CLI или модуль Azure PowerShell
- Скачать виртуальный жесткий диск — Windows или Linux
- Часто задаваемые вопросы о приватных каналах
- Экспорт и копирование управляемых моментальных снимков в виде VHD в учетную запись хранения в другом регионе с помощью интерфейса командной строки (CLI)