Tutorial: Ligar a uma conta de armazenamento com um Ponto Final Privado do Azure

O ponto de extremidade privado do Azure é o bloco de construção fundamental para o Link Privado no Azure. Ele permite que os recursos do Azure, como máquinas virtuais (VMs), se comuniquem de forma privada e segura com recursos de Link Privado, como o Armazenamento do Azure.

Diagrama de recursos criados no tutorial.

Neste tutorial, irá aprender a:

  • Crie uma rede virtual e um host bastião.
  • Crie uma conta de armazenamento e desative o acesso público.
  • Crie um ponto de extremidade privado para a conta de armazenamento.
  • Cria uma máquina virtual.
  • Teste a conectividade com o ponto de extremidade privado da conta de armazenamento.

Pré-requisitos

  • Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Iniciar sessão no Azure

Inicie sessão no portal do Azure.

Criar uma rede virtual e um host do Azure Bastion

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host Bastion:

  1. No portal, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione Criar novo.
    Digite test-rg para o nome.
    Selecione OK.
    Detalhes da instância
    Nome Digite vnet-1.
    País/Região Selecione E.U.A. Leste 2.

    Captura de ecrã do separador Noções básicas para criar uma rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança .

  5. Na seção Azure Bastion, selecione Habilitar Azure Bastion.

    Bastion usa seu navegador para se conectar a VMs em sua rede virtual através de Secure Shell (SSH) ou Remote Desktop Protocol (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, consulte O que é o Azure Bastion?.

    Nota

    O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.

  6. No Azure Bastion, insira ou selecione as seguintes informações:

    Definição Value
    Nome do host do Azure Bastion Entre no bastião.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Digite public-ip-bastion em Name.
    Selecione OK.

    Captura de ecrã das opções para ativar um anfitrião do Azure Bastion como parte da criação de uma rede virtual no portal do Azure.

  7. Selecione Avançar para prosseguir para a guia Endereços IP .

  8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .

  9. Em Editar sub-rede, insira ou selecione as seguintes informações:

    Definição Value
    Finalidade da sub-rede Deixe o padrão de Default.
    Nome Digite subnet-1.
    IPv4
    Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho Deixe o padrão de /24 (256 endereços).

    Captura de ecrã dos detalhes de configuração de uma sub-rede.

  10. Selecione Guardar.

  11. Selecione Rever + criar na parte inferior da janela. Quando a validação for aprovada, selecione Criar.

Criar uma conta de armazenamento

Crie uma conta de Armazenamento do Azure para as etapas neste artigo. Se você já tiver uma conta de armazenamento, poderá usá-la.

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

  2. Selecione + Criar.

  3. Na guia Noções básicas de Criar uma conta de armazenamento, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do Projeto
    Subscrição Selecione a subscrição do Azure.
    Grupo de Recursos Selecione test-rg.
    Detalhes da instância
    Nome da conta de armazenamento Insira o armazenamento1. Se o nome não estiver disponível, insira um nome exclusivo.
    Location Selecione (EUA) Leste dos EUA 2.
    Desempenho Deixe o padrão padrão.
    Redundância Selecione Armazenamento com redundância local (LRS).
  4. Selecionar Rever.

  5. Selecione Criar.

Desativar o acesso público à conta de armazenamento

Antes de criar o ponto de extremidade privado, é recomendável desabilitar o acesso público à conta de armazenamento. Use as etapas a seguir para desabilitar o acesso público à conta de armazenamento.

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

  2. Selecione storage1 ou o nome da sua conta de armazenamento existente.

  3. Em Segurança + rede, selecione Rede.

  4. Na guia Firewalls e redes virtuais em Acesso à rede pública, selecione Desabilitado.

  5. Selecione Guardar.

Criar ponto de extremidade privado

  1. Na caixa de pesquisa na parte superior do portal, insira Ponto de extremidade privado. Selecione Pontos de extremidade privados.

  2. Selecione + Criar em pontos de extremidade privados.

  3. Na guia Noções básicas de Criar um ponto de extremidade privado, insira ou selecione as seguintes informações.

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg
    Detalhes da instância
    Nome Insira o ponto de extremidade privado.
    Nome da interface de rede Deixe o padrão de private-endpoint-nic.
    País/Região Selecione E.U.A. Leste 2.
  4. Selecione Next: Resource.

  5. No painel Recurso, insira ou selecione as seguintes informações.

    Definição Value
    Método de ligação Deixe o padrão de Conectar a um recurso do Azure no meu diretório.
    Subscrição Selecione a sua subscrição.
    Tipo de recurso Selecione Microsoft.Storage/storageAccounts.
    Recurso Selecione storage-1 ou sua conta de armazenamento.
    Subrecurso de destino Selecione blob.
  6. Selecione Next: Virtual Network.

  7. Em Rede Virtual, insira ou selecione as seguintes informações.

    Definição Value
    Rede
    Rede virtual Selecione vnet-1 (test-rg).
    Sub-rede Selecione sub-rede-1.
    Política de rede para terminais privados Selecione editar para aplicar a política de rede para pontos de extremidade privados.
    Em Editar política de rede de sub-rede, marque a caixa de seleção ao lado de Grupos de segurança de rede e Tabelas de rotas na configuração Políticas de rede para todos os pontos de extremidade privados nesta lista suspensa de sub-rede.
    Selecione Salvar.

    Para obter mais informações, consulte Gerenciar políticas de rede para pontos de extremidade privados
    Definição Value
    Configuração de IP privado Selecione Alocar endereço IP dinamicamente.

    Captura de ecrã da seleção de endereços IP dinâmicos.

  8. Selecione Next: DNS.

  9. Deixe os padrões no DNS. Selecione Next: Tags, em seguida , Next: Review + create.

  10. Selecione Criar.

Criar máquina virtual de teste

O procedimento a seguir cria uma máquina virtual (VM) de teste chamada vm-1 na rede virtual.

  1. No portal, procure e selecione Máquinas virtuais.

  2. Em Máquinas virtuais, selecione + Criar e, em seguida , Máquina virtual do Azure.

  3. Na guia Noções básicas de Criar uma máquina virtual, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Virtual machine name Digite vm-1.
    País/Região Selecione E.U.A. Leste 2.
    Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura.
    Tipo de segurança Deixe o padrão de Padrão.
    Image Selecione Windows Server 2022 Datacenter - x64 Gen2.
    Arquitetura VM Deixe o padrão de x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Authentication type Selecione Senha.
    Username Digite azureuser.
    Palavra-passe Introduza uma palavra-passe.
    Confirme a palavra-passe Reintroduza a palavra-passe.
    Regras de porta de entrada
    Portas de entrada públicas Selecione Nenhuma.
  4. Selecione a guia Rede na parte superior da página.

  5. Insira ou selecione as seguintes informações na guia Rede :

    Definição Value
    Interface de Rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione sub-rede-1 (10.0.0.0/24).
    IP público Selecione Nenhuma.
    Grupo de segurança de rede NIC Selecione Avançadas.
    Configurar grupo de segurança de rede Selecione Criar novo.
    Digite nsg-1 para o nome.
    Deixe o restante nos padrões e selecione OK.
  6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

  7. Revise as configurações e selecione Criar.

Nota

As máquinas virtuais em uma rede virtual com um host bastion não precisam de endereços IP públicos. Bastion fornece o IP público, e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas por bastion. Para obter mais informações, consulte Dissociar um endereço IP público de uma VM do Azure.

Nota

O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.

As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.

Chave de acesso ao armazenamento

A chave de acesso de armazenamento é necessária para as etapas posteriores. Vá para a conta de armazenamento que você criou anteriormente e copie a cadeia de conexão com a chave de acesso para a conta de armazenamento.

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

  2. Selecione a conta de armazenamento que você criou nas etapas anteriores ou sua conta de armazenamento existente.

  3. Na seção Segurança + rede da conta de armazenamento, selecione Chaves de acesso.

  4. Selecione Mostrar e, em seguida, selecione copiar na cadeia de conexão para key1.

Adicionar um contentor de blobs

  1. Na caixa de pesquisa na parte superior do portal, insira Conta de armazenamento. Selecione Contas de armazenamento nos resultados da pesquisa.

  2. Selecione a conta de armazenamento criada nas etapas anteriores.

  3. Na secção Armazenamento de dados, selecione Contentores.

  4. Selecione + Contêiner para criar um novo contêiner.

  5. Insira o contêiner em Nome e selecione Privado (sem acesso anônimo) em Nível de acesso público.

  6. Selecione Criar.

Testar a conectividade com o ponto de extremidade privado

Nesta seção, você usa a máquina virtual criada nas etapas anteriores para se conectar à conta de armazenamento no ponto de extremidade privado usando o Gerenciador de Armazenamento do Microsoft Azure.

  1. Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione vm-1.

  3. Em Operações, selecione Bastion.

  4. Digite o nome de usuário e a senha que você inseriu durante a criação da máquina virtual.

  5. Selecione Ligar.

  6. Abra o Windows PowerShell no servidor depois de se conectar.

  7. Introduzir nslookup <storage-account-name>.blob.core.windows.net. Substitua <storage-account-name> pelo nome da conta de armazenamento criada nas etapas anteriores. O exemplo a seguir mostra a saída do comando.

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    storage1.privatelink.blob.core.windows.net
    Address:  10.0.0.10
    Aliases:  mystorageaccount.blob.core.windows.net
    

    Um endereço IP privado de 10.0.0.10 é retornado para o nome da conta de armazenamento. Este endereço está na sub-rede 1 da rede virtual vnet-1 que você criou anteriormente.

  8. Instale o Gerenciador de Armazenamento do Microsoft Azure na máquina virtual.

  9. Selecione Concluir após a instalação do Microsoft Azure Storage Explorer . Deixe a caixa marcada para abrir o aplicativo.

  10. Selecione o símbolo de plugue de energia para abrir a caixa de diálogo Selecionar recurso na barra de ferramentas à esquerda.

  11. Em Selecionar Recurso , selecione Conta ou serviço de armazenamento para adicionar uma conexão no Gerenciador de Armazenamento do Microsoft Azure à sua conta de armazenamento criada nas etapas anteriores.

  12. Na tela Selecionar Método de Conexão, selecione Cadeia de conexão e, em seguida, Avançar.

  13. Na caixa em Cadeia de Conexão, cole a cadeia de conexão da conta de armazenamento copiada nas etapas anteriores. O nome da conta de armazenamento é preenchido automaticamente na caixa em Nome para exibição.

  14. Selecione Seguinte.

  15. Verifique se as configurações estão corretas em Resumo.

  16. Selecione Ligar

  17. Selecione sua conta de armazenamento em Contas de armazenamento no menu do Explorer.

  18. Expanda a conta de armazenamento e, em seguida, Blob Containers.

  19. O contêiner criado anteriormente é exibido.

  20. Feche a conexão com vm-1.

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

  1. No portal do Azure, procure e selecione Grupos de recursos.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos.

  4. Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Próximos passos

Neste tutorial, você aprendeu como criar:

  • Rede virtual e host bastião.

  • Máquina virtual.

  • Conta de armazenamento e um contêiner.

Saiba como se conectar a uma conta do Azure Cosmos DB por meio do Ponto de Extremidade Privado do Azure: