Konfigurera en programsäkerhetsgrupp med en privat slutpunkt

Privata Azure Private Link-slutpunkter stöder programsäkerhetsgrupper (ASG:er) för nätverkssäkerhet. Du kan associera privata slutpunkter med en befintlig ASG i den aktuella infrastrukturen tillsammans med virtuella datorer och andra nätverksresurser.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Om du inte redan har ett Azure-konto skapar du ett konto kostnadsfritt.

• En Azure-webbapp med en Premium V2-nivå eller en högre App Service-plan som distribuerats i din Azure-prenumeration.

  • Mer information och ett exempel finns i Snabbstart: Skapa en ASP.NET Core-webbapp i Azure.
  • Exempelwebbappen i den här artikeln heter myWebApp1979. Ersätt exemplet med webbappens namn.

• En befintlig ASG i din prenumeration. Mer information om ASG:er finns i Programsäkerhetsgrupper.

  • Asg-exemplet som används i den här artikeln heter myASG. Ersätt exemplet med programsäkerhetsgruppen.

• Ett befintligt virtuellt Azure-nätverk och undernät i din prenumeration. Mer information om hur du skapar ett virtuellt nätverk finns i Snabbstart: Skapa ett virtuellt nätverk med azure-portalen.

  • Det virtuella exempelnätverk som används i den här artikeln heter myVNet. Ersätt exemplet med ditt virtuella nätverk.

• Den senaste versionen av Azure CLI, installerad.

  • Kontrollera din version av Azure CLI i en terminal eller ett kommandofönster genom att köra az --version. Den senaste versionen finns i de senaste viktig information.
  • Om du inte har den senaste versionen av Azure CLI uppdaterar du den genom att följa installationsguiden för ditt operativsystem eller din plattform.

Om du väljer att installera och använda PowerShell lokalt kräver den här artikeln Azure PowerShell-modulversion 5.4.1 eller senare. Kör Get-Module -ListAvailable Az för att hitta den installerade versionen. Om du behöver uppgradera kan du läsa Installera Azure PowerShell-modulen. Om du kör PowerShell lokalt måste du också köra Connect-AzAccount för att skapa en anslutning till Azure.

Skapa en privat slutpunkt med en ASG

Du kan associera en ASG med en privat slutpunkt när den skapas. Följande procedurer visar hur du associerar en ASG med en privat slutpunkt när den skapas.

Portal

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Privat slutpunkt. Välj Privata slutpunkter i sökresultaten.

3. Välj + Skapa i privata slutpunkter.

4. På fliken Grundläggande i Skapa en privat slutpunkt anger eller väljer du följande information:

   Värde	Inställning
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj din resursgrupp. I det här exemplet är det myResourceGroup.
   Instansinformation
   Name	Ange myPrivateEndpoint.
   Region	Välj USA, östra.

5. Välj Nästa: Resurs längst ned på sidan.

6. På fliken Resurs anger eller väljer du följande information:

   Värde	Inställning
   Anslutningsmetod	Välj Anslut till en Azure-resurs i min katalog.
   Prenumeration	Välj din prenumeration.
   Resurstyp	Välj Microsoft.Web/sites.
   Resurs	Välj mywebapp1979.
   Underresurs för mål	Välj webbplatser.

7. Välj Nästa: Virtuellt nätverk längst ned på sidan.

8. På fliken Virtuellt nätverk anger eller väljer du följande information:

   Värde	Inställning
   Nätverk
   Virtuellt nätverk	Välj myVNet.
   Undernät	Välj ditt undernät. I det här exemplet är det myVNet/myBackendSubnet(10.0.0.0/24).
   Aktivera nätverksprinciper för alla privata slutpunkter i det här undernätet.	Låt standardvärdet vara markerat.
   Programsäkerhetsgrupp
   Programsäkerhetsgrupp	Välj myASG.

   

9. Välj Nästa: DNS längst ned på sidan.

10. Välj Nästa: Taggar längst ned på sidan.

11. Välj Nästa: Granska + skapa.

12. Välj Skapa.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Associera en ASG med en befintlig privat slutpunkt

Du kan associera en ASG med en befintlig privat slutpunkt. Följande procedurer visar hur du associerar en ASG med en befintlig privat slutpunkt.

Viktigt!

Du måste ha en tidigare distribuerad privat slutpunkt för att kunna fortsätta med stegen i det här avsnittet. Exempelslutpunkten som används i det här avsnittet heter myPrivateEndpoint. Ersätt exemplet med din privata slutpunkt.

Portal

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Privat slutpunkt. Välj Privata slutpunkter i sökresultaten.

3. I Privata slutpunkter väljer du myPrivateEndpoint.

4. I myPrivateEndpoint går du till Inställningar och väljer Programsäkerhetsgrupper.

5. I Programsäkerhetsgrupper väljer du myASG i listrutan.

   

6. Välj Spara.

PowerShell

Det går för närvarande inte att associera en ASG med en befintlig privat slutpunkt med Azure PowerShell.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Nästa steg

Mer information om Azure Private Link finns i:

• Vad är Azure Privat Link?