你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:使用 Azure 专用终结点连接到存储帐户

  • 项目

Azure 专用终结点是 Azure 中专用链接的构建基块。 它使 Azure 资源(例如虚拟机 (VM))能够以私密且安全的方式来与 Azure 存储等专用链接资源通信。

本教程介绍以下操作:

  • 创建虚拟网络和 Bastion 主机。
  • 创建虚拟机。
  • 创建采用专用终结点的存储帐户。
  • 测试到存储帐户专用终结点的连接。

先决条件

  • Azure 订阅。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户

登录 Azure

登录 Azure 门户

创建虚拟网络和堡垒主机

创建虚拟网络、子网和堡垒主机。 虚拟网络和子网将包含连接到 Azure 存储帐户的专用终结点。

堡垒主机将用于安全地连接到虚拟机,以测试专用终结点。

  1. 在门户顶部的搜索框中,输入“虚拟网络”。 在搜索结果中,选择“虚拟网络”。

  2. 选择“+ 新建”。

  3. 在“创建虚拟网络” 的“基本信息”选项卡中输入或选择以下信息 :

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“新建”。
    在“名称”中输入“TutorPEstorage-rg”。
    选择“确定”。
    实例详细信息
    名称 输入 myVNet
    区域 选择“美国东部”。

  4. 选择“IP 地址”选项卡或选择“下一步: IP 地址”。

  5. 在“IP 地址” 选项卡上,输入以下信息:

    设置
    IPv4 地址空间 输入 10.1.0.0/16。

  6. 在“子网名称”下,选择词语“默认”。 如果子网未列出,请选择“+ 添加子网”。

  7. 在“编辑子网”中输入以下信息:

    设置
    子网名称 输入 mySubnet
    子网地址范围 输入 10.1.0.0/24。

  8. 选择“保存” 。

  9. 选择“安全”选项卡。

  10. 在“BastionHost”下,选择“启用” 。 输入此信息:

    设置
    Bastion 名称 输入“myBastionHost”。
    AzureBastionSubnet 地址空间 输入“10.1.1.0/26”。
    公共 IP 地址 选择“新建”。
    对于“名称”,请输入“myBastionIP”。
    选择“确定”。

  11. 选择“查看 + 创建”选项卡,或选择“查看 + 创建”按钮。

  12. 选择“创建”。

部署虚拟网络和 Azure Bastion 主机将需要几分钟时间。 创建虚拟网络后,请继续执行后续步骤。

创建虚拟机

在本部分中,你将创建将用来测试专用终结点的虚拟机。

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 选择“+ 创建”>“Azure 虚拟机”。

  3. 在“创建虚拟机”的“基本信息”选项卡中输入或选择以下值:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“TutorPEstorage-rg”。
    实例详细信息
    虚拟机名称 输入“myVM”。
    区域 选择“(US)美国东部”。
    可用性选项 选择“无需基础结构冗余”。
    安全类型 选择“标准”。
    映像 选择“Windows Server 2022 Datacenter: Azure Edition - Gen2”。
    大小 选择大小或保留默认设置。
    管理员帐户
    用户名 输入用户名。
    Password 输入密码。
    确认密码 重新输入密码。
    入站端口规则
    公共入站端口 选择“无”。

  4. 选择“网络”选项卡,或选择“下一步: 磁盘”,然后选择“下一步: 网络”。

  5. 在“网络”选项卡中,输入或选择以下信息:

    设置
    网络接口
    虚拟网络 myVNet
    子网 mySubnet
    公共 IP 选择“无”。
    NIC 网络安全组 基本
    公共入站端口 选择“无”。

  6. 选择“查看 + 创建”。

  7. 检查设置,然后选择“创建”。

注意

Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。

当将公共 IP 地址分配给 VM、将 VM 放置在具有或不具有出站规则的标准负载均衡器的后端池中,或者将 Azure 虚拟网络 NAT 网关资源分配给 VM 的子网时,默认禁用出站访问 IP。

在灵活业务流程模式下由虚拟机规模集创建的 VM 没有默认的出站访问权限。

有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问权限使用用于出站连接的源网络地址转换 (SNAT)

创建采用专用终结点的存储帐户

创建存储帐户并配置专用终结点。 专用终结点使用的网络接口已被分配一个你之前创建的虚拟网络中的 IP 地址。

  1. 在门户顶部的搜索框中,输入“存储帐户”。 在搜索结果中选择“存储帐户”。

  2. 选择“+ 新建”。

  3. 在“创建存储帐户”的“基本信息”选项卡中,输入或选择以下信息:

    设置
    项目详细信息
    订阅 选择 Azure 订阅。
    资源组 选择“TutorPEstorage-rg”。
    实例详细信息
    存储帐户名称 输入 mystorageaccount。 如果该名称不可用,请输入一个唯一的名称。
    位置 选择“(US)美国东部”。
    性能 保留默认值“标准”。
    冗余 选择“本地冗余存储(LRS)”。

  4. 选择“网络”选项卡,或者选择“下一步: 高级”,然后选择“下一步: 网络”。

  5. 在“网络”选项卡中的“网络连接”下,选择“禁用公共访问并使用专用访问”。

  6. 在“专用终结点”中,选择“+ 添加专用终结点”。

  7. 在“创建专用终结点”中,输入或选择以下信息:

    设置
    订阅 选择 Azure 订阅。
    资源组 选择“TutorPEstorage-rg”。
    位置 选择“美国东部”。
    名称 输入“myPrivateEndpoint”。
    存储子资源 保留默认值“blob”。
    联网
    虚拟网络 选择“myVNet”。
    子网 选择“myVNet/mySubnet (10.1.0.0/24)”。
    专用 DNS 集成
    与专用 DNS 区域集成 保留默认值“是”。
    专用 DNS 区域 保留默认值“(新建) privatelink.blob.core.windows.net”。

  8. 选择“确定”。

  9. 选择“查看”。

  10. 选择“创建” 。

存储访问密钥

后续步骤需要存储访问密钥。 我们将转到之前创建的存储帐户,并复制包含存储帐户访问密钥的连接字符串。

  1. 在门户顶部的搜索框中,输入“存储帐户”。 在搜索结果中选择“存储帐户”。

  2. 选择你在之前的步骤中创建的存储帐户。

  3. 在存储帐户的“安全性 + 网络”部分,选择“访问密钥”。

  4. 选择“显示”,然后选择复制“key1”的“连接字符串”。

添加 blob 容器

  1. 在门户顶部的搜索框中,输入“存储帐户”。 在搜索结果中选择“存储帐户”。

  2. 选择你在之前的步骤中创建的存储帐户。

  3. 在“数据存储”部分中,选择“容器”。

  4. 选择“+ 容器”来新建容器。

  5. 在“名称”中输入“mycontainer”,然后在“公共访问级别”下选择“专用(非匿名访问)”。

  6. 选择“创建”。

测试到专用终结点的连接

在本部分中,你将在“Microsoft Azure 存储资源管理器”中使用在上一步骤中创建的虚拟机通过专用终结点连接到存储帐户。

  1. 在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。

  2. 选择“myVM”。

  3. myVM的“概述”页上,选择“连接”,然后选择“堡垒”。

  4. 输入在创建虚拟机期间输入的用户名和密码。

  5. 选择“连接”。

  6. 连接后,在服务器上打开 Windows PowerShell。

  7. 输入 nslookup <storage-account-name>.blob.core.windows.net。 将 <storage-account-name> 替换为你在前面步骤中创建的存储帐户的名称。 你将收到类似于以下所示内容的消息:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    mystorageaccount.privatelink.blob.core.windows.net
Address:  10.1.0.5
Aliases:  mystorageaccount.blob.core.windows.net

    将为存储帐户名称返回专用 IP 地址 10.1.0.5。 此地址在前面创建的 myVNet 虚拟网络的 mySubnet 子网中。

  8. 在虚拟机上安装 Microsoft Azure 存储资源管理器

  9. 安装“Microsoft Azure 存储资源管理器”后选择“完成”。 保持选中此复选框以打开应用程序。

  10. 选择“电源插头”符号以打开“选择资源”对话框。

  11. 在“选择资源”中选择“存储帐户或服务”,以将“Microsoft Azure 存储资源管理器”中的连接添加到在前面步骤中创建的存储帐户。

  12. 在“选择连接方法”屏幕中,依次选择“连接字符串”、“下一步”。

  13. 在“连接字符串”下的框中,粘贴在前面步骤中复制的存储帐户的连接字符串。 存储帐户名称将自动填充在“显示名称”下的框中。

  14. 选择“下一页”。

  15. 在“摘要”中验证设置是否正确。

  16. 选择“连接”

  17. 从资源管理器菜单的“存储帐户”中选择存储帐户。

  18. 展开该存储帐户,然后展开“Blob 容器”。

  19. 此时会显示之前创建的 mycontainer。

  20. 关闭到 myVM 的连接。

清理资源

如果你不打算继续使用此应用程序,请按以下步骤删除虚拟网络、虚拟机和存储帐户:

  1. 从左侧菜单中,选择“资源组”。

  2. 选择“TutorPEstorage-rg”。

  3. 选择“删除资源组”

  4. 在“键入资源组名称”中输入“TutorPEstorage-rg”。

  5. 选择“删除”。

后续步骤

在本教程中,你已了解如何创建:

  • 虚拟网络和堡垒主机。

  • 虚拟机。

  • 存储帐户和容器。

了解如何通过 Azure 专用终结点连接到 Azure Cosmos DB 帐户:

使用专用终结点连接到 Azure Cosmos DB