Configurare un gruppo di sicurezza delle applicazioni con un endpoint privato

Articolo
01/19/2024

collegamento privato di Azure endpoint privati supportano i gruppi di sicurezza delle applicazioni per la sicurezza di rete. È possibile associare endpoint privati a un gruppo di sicurezza di rete esistente nell'infrastruttura corrente insieme alle macchine virtuali e ad altre risorse di rete.

Prerequisiti

Un account Azure con una sottoscrizione attiva. Se non si ha già un account Azure, creare gratuitamente un account.
Un'app Web di Azure con un piano di servizio app Premium V2 o superiore distribuito nella sottoscrizione di Azure.
- Per altre informazioni e un esempio, vedere Avvio rapido: Creare un'app Web core ASP.NET in Azure.
- L'app Web di esempio in questo articolo è denominata myWebApp1979. Sostituire l'esempio con il nome dell'app Web.
Un gruppo di sicurezza di rete esistente nella sottoscrizione. Per altre informazioni sui gruppi di sicurezza delle applicazioni, vedere Gruppi di sicurezza delle applicazioni.
- L'esempio asg usato in questo articolo è denominato myASG. Sostituire l'esempio con il gruppo di sicurezza dell'applicazione.
Una rete virtuale e una subnet di Azure esistenti nella sottoscrizione. Per altre informazioni sulla creazione di una rete virtuale, vedere Avvio rapido: Creare una rete virtuale usando il portale di Azure.
- La rete virtuale di esempio usata in questo articolo è denominata myVNet. Sostituire l'esempio con la rete virtuale.
Versione più recente dell'interfaccia della riga di comando di Azure installata.
- Controllare la versione dell'interfaccia della riga di comando di Azure in una finestra terminale o di comando eseguendo az --version. Per la versione più recente, vedere le note sulla versione più recenti.
- Se non si ha la versione più recente dell'interfaccia della riga di comando di Azure, aggiornarla seguendo la guida all'installazione per il sistema operativo o la piattaforma.

Se si sceglie di installare e usare PowerShell in locale, questo articolo richiede il modulo Azure PowerShell versione 5.4.1 o successiva. Per trovare la versione installata, eseguire Get-Module -ListAvailable Az. Se è necessario eseguire l'aggiornamento, vedere Installare e configurare Azure PowerShell. Se si esegue PowerShell in locale, è anche necessario eseguire Connect-AzAccount per creare una connessione con Azure.

Creare un endpoint privato con un gruppo di sicurezza di azure

È possibile associare un gruppo di sicurezza di azure a un endpoint privato al momento della creazione. Le procedure seguenti illustrano come associare un gruppo di sicurezza di azure a un endpoint privato al momento della creazione.

Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati nei risultati della ricerca.
Selezionare + Crea negli endpoint privati.

Nella scheda Informazioni di base di Crea un endpoint privato immettere o selezionare le informazioni seguenti:

Valore	Impostazione
Dettagli di progetto
Subscription	Selezionare la propria sottoscrizione.
Resource group	Selezionare il gruppo di risorse. In questo esempio si tratta di myResourceGroup.
Dettagli istanza
Nome	Immettere myPrivateEndpoint.
Area	Selezionare Stati Uniti orientali.

Selezionare Avanti: Risorsa nella parte inferiore della pagina.

Nella scheda Risorsa immettere o selezionare le informazioni seguenti:

Valore	Impostazione
Metodo di connessione	Selezionare Connettersi a una risorsa di Azure nella directory.
Subscription	Selezionare la propria sottoscrizione.
Tipo di risorsa	Selezionare Microsoft.Web/sites.
Resource	Selezionare mywebapp1979.
Sottorisorsa di destinazione	Selezionare siti.

Selezionare Avanti: Rete virtuale nella parte inferiore della pagina.

Nella scheda Rete virtuale immettere o selezionare le informazioni seguenti:

Valore	Impostazione
Networking
Rete virtuale	Selezionare myVNET.
Subnet	Selezionare la subnet. In questo esempio si tratta di myVNet/myBackendSubnet(10.0.0.0/24)..
Abilitare i criteri di rete per tutti gli endpoint privati in questa subnet.	Lasciare selezionata l'impostazione predefinita.
Gruppo di sicurezza delle applicazioni
Gruppo di sicurezza delle applicazioni	Selezionare myASG.

Screenshot that shows ASG selection when creating a new private endpoint.

Selezionare Avanti: DNS nella parte inferiore della pagina.
Selezionare Avanti: Tag nella parte inferiore della pagina.
Selezionare Avanti: Rivedi e crea.
Seleziona Crea.

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet

Associare un gruppo di sicurezza di azure a un endpoint privato esistente

È possibile associare un gruppo di sicurezza di azure a un endpoint privato esistente. Le procedure seguenti illustrano come associare un gruppo di sicurezza di azure a un endpoint privato esistente.

Importante

Per procedere con i passaggi descritti in questa sezione, è necessario disporre di un endpoint privato distribuito in precedenza. L'endpoint di esempio usato in questa sezione è denominato myPrivateEndpoint. Sostituire l'esempio con l'endpoint privato.

Accedere al portale di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Endpoint privato. Selezionare Endpoint privati nei risultati della ricerca.
In Endpoint privati selezionare myPrivateEndpoint.
In myPrivateEndpoint, in Impostazioni, selezionare Gruppi di sicurezza delle applicazioni.
In Gruppi di sicurezza delle applicazioni selezionare myASG nella casella a discesa.
Seleziona Salva.

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Passaggi successivi

Per altre informazioni sulle collegamento privato di Azure, vedere:

Che cos'è Collegamento privato di Azure?

Condividi tramite

Configurare un gruppo di sicurezza delle applicazioni con un endpoint privato

Prerequisiti

Creare un endpoint privato con un gruppo di sicurezza di azure

Associare un gruppo di sicurezza di azure a un endpoint privato esistente

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive