Självstudie: Begränsa nätverksåtkomsten till PaaS-resurser med tjänstslutpunkter för virtuella nätverk

• Ett Azure-konto med en aktiv prenumeration. Skapa en kostnadsfritt.

Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.

Azure Cloud Shell

Azure är värd för Azure Cloud Shell, en interaktiv gränssnittsmiljö som du kan använda via webbläsaren. Du kan använda antingen Bash eller PowerShell med Cloud Shell för att arbeta med Azure-tjänster. Du kan använda förinstallerade Cloud Shell-kommandon för att köra koden i den här artikeln, utan att behöva installera något i din lokala miljö.

Så här startar du Azure Cloud Shell:

Alternativ	Exempel/länk
Välj Prova i det övre högra hörnet i en kod eller ett kommandoblock. Om du väljer Prova kopieras inte koden eller kommandot automatiskt till Cloud Shell.
Gå till https://shell.azure.com eller Välj knappen Starta Cloud Shell för att öppna Cloud Shell i webbläsaren.
Välj knappen Cloud Shell på menyn längst upp till höger i Azure-portalen.

Så här använder du Azure Cloud Shell:

1. Starta Cloud Shell.

2. Välj knappen Kopiera i ett kodblock (eller kommandoblock) för att kopiera koden eller kommandot.

3. Klistra in koden eller kommandot i Cloud Shell-sessionen genom att välja Ctrl+Skift+V i Windows och Linux, eller genom att välja Cmd+Shift+V på macOS.

4. Välj Retur för att köra koden eller kommandot.

Om du väljer att installera och använda PowerShell lokalt kräver den här artikeln Azure PowerShell-modulen version 1.0.0 eller senare. Kör Get-Module -ListAvailable Az för att hitta den installerade versionen. Om du behöver uppgradera kan du läsa Install Azure PowerShell module (Installera Azure PowerShell-modul). Om du kör PowerShell lokalt måste du också köra Connect-AzAccount för att skapa en anslutning till Azure.

Om du inte har en Azure-prenumeration skapar du ett kostnadsfritt Azure-konto innan du börjar.

• Använd Bash-miljön i Azure Cloud Shell. Mer information finns i Snabbstart för Bash i Azure Cloud Shell.

  

• Om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI. Om du kör i Windows eller macOS kan du köra Azure CLI i en Docker-container. Mer information finns i Så här kör du Azure CLI i en Docker-container.

  • Om du använder en lokal installation loggar du in på Azure CLI med hjälp av kommandot az login. Slutför autentiseringsprocessen genom att följa stegen som visas i terminalen. Andra inloggningsalternativ finns i Logga in med Azure CLI.

  • När du uppmanas att installera Azure CLI-tillägget vid första användningen. Mer information om tillägg finns i Använda tillägg med Azure CLI.

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

• Den här artikeln kräver version 2.0.28 eller senare av Azure CLI. Om du använder Azure Cloud Shell är den senaste versionen redan installerad.

Skapa ett virtuellt nätverk och en Azure Bastion-värd

Följande procedur skapar ett virtuellt nätverk med ett resursundernät, ett Azure Bastion-undernät och en Bastion-värd:

1. I portalen söker du efter och väljer Virtuella nätverk.

2. På sidan Virtuella nätverk väljer du + Skapa.

3. På fliken Grundläggande i Skapa virtuellt nätverk anger du eller väljer följande information:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj Skapa ny. Ange test-rg som namn. Välj OK.
   Instansinformation
   Name	Ange vnet-1.
   Region	Välj USA, östra 2.

   

4. Välj Nästa för att fortsätta till fliken Säkerhet .

5. I avsnittet Azure Bastion väljer du Aktivera Azure Bastion.

   Bastion använder webbläsaren för att ansluta till virtuella datorer i ditt virtuella nätverk via Secure Shell (SSH) eller Remote Desktop Protocol (RDP) med hjälp av sina privata IP-adresser. De virtuella datorerna behöver inte offentliga IP-adresser, klientprogramvara eller särskild konfiguration. Mer information finns i Vad är Azure Bastion?.

   Kommentar

   Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du distribuerar Bastion som en del av en självstudie eller ett test rekommenderar vi att du tar bort den här resursen när du har använt den.

6. I Azure Bastion anger eller väljer du följande information:

   Inställning	Värde
   Azure Bastion-värdnamn	Ange bastion.
   Offentlig IP-adress för Azure Bastion	Välj Skapa en offentlig IP-adress. Ange public-ip-bastion i Namn. Välj OK.

   

7. Välj Nästa för att fortsätta till fliken IP-adresser .

8. I rutan adressutrymme i Undernät väljer du standardundernätet .

9. I Redigera undernät anger eller väljer du följande information:

   Inställning	Värde
   Undernätssyfte	Låt standardvärdet Standard vara kvar.
   Name	Ange undernät-1.
   IPv4
   IPv4-adressintervall	Låt standardvärdet vara 10.0.0.0/16.
   Startadress	Låt standardvärdet vara 10.0.0.0.
   Storlek	Lämna standardvärdet /24 (256 adresser).

   

10. Välj Spara.

11. Välj Granska + skapa längst ned i fönstret. När valideringen har godkänts väljer du Skapa.

Tjänstslutpunkter är aktiverade per tjänst och undernät.

1. I sökrutan överst på portalsidan söker du efter Virtuellt nätverk. Välj Virtuella nätverk i sökresultaten.

2. I Virtuella nätverk väljer du vnet-1.

3. I avsnittet Inställningar i vnet-1 väljer du Undernät.

4. Välj + Undernät.

5. På sidan Lägg till undernät anger du eller väljer följande information:

   Inställning	Värde
   Name	subnet-private
   Adressintervall för undernätet	Låt standardvärdet vara 10.0.2.0/24.
   TJÄNSTSLUTPUNKTER
   Tjänster	Välj Microsoft.Storage

6. Välj Spara.

Skapa ett virtuellt nätverk

1. Innan du skapar ett virtuellt nätverk måste du skapa en resursgrupp för det virtuella nätverket och alla andra resurser som skapas i den här artikeln. Skapa en resursgrupp med New-AzResourceGroup. I följande exempel skapas en resursgrupp med namnet test-rg:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Skapa ett virtuellt nätverk med hjälp av New-AzVirtualNetwork. I följande exempel skapas ett virtuellt nätverk med namnet vnet-1 med adressprefixet 10.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Skapa en undernätskonfiguration med New-AzVirtualNetworkSubnetConfig. I följande exempel skapas en undernätskonfiguration för ett undernät med namnet subnet-public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Skapa undernätet i det virtuella nätverket genom att skriva undernätskonfigurationen till det virtuella nätverket med Set-AzVirtualNetwork:

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Skapa ett annat undernät i det virtuella nätverket. I det här exemplet skapas ett undernät med namnet subnet-private med en tjänstslutpunkt för Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Distribuera Azure Bastion

Azure Bastion använder webbläsaren för att ansluta till virtuella datorer i ditt virtuella nätverk via Secure Shell (SSH) eller Remote Desktop Protocol (RDP) med hjälp av sina privata IP-adresser. De virtuella datorerna behöver inte offentliga IP-adresser, klientprogramvara eller särskild konfiguration. Mer information om Bastion finns i Vad är Azure Bastion?.

Priserna per timme börjar från det ögonblick då Bastion distribueras, oavsett utgående dataanvändning. Mer information finns i Priser och SKU:er. Om du distribuerar Bastion som en del av en självstudie eller ett test rekommenderar vi att du tar bort den här resursen när du har använt den.

1. Konfigurera ett Bastion-undernät för ditt virtuella nätverk. Det här undernätet är endast reserverat för Bastion-resurser och måste ha namnet AzureBastionSubnet.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Ange konfigurationen:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Skapa en offentlig IP-adress för Bastion. Bastion-värden använder den offentliga IP-adressen för att få åtkomst till SSH och RDP via port 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Använd kommandot New-AzBastion för att skapa en ny Standard Bastion-värd i AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Det tar cirka 10 minuter att distribuera Bastion-resurserna. Du kan skapa virtuella datorer i nästa avsnitt medan Bastion distribueras till ditt virtuella nätverk.

Skapa ett virtuellt nätverk

1. Innan du skapar ett virtuellt nätverk måste du skapa en resursgrupp för det virtuella nätverket och alla andra resurser som skapas i den här artikeln. Skapa en resursgrupp med az group create. I följande exempel skapas en resursgrupp med namnet test-rg på platsen westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Skapa ett virtuellt nätverk med ett undernät med az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. Du kan endast aktivera tjänstslutpunkter för tjänster som stöder tjänstslutpunkter. Visa tjänstslutpunktsaktiverade tjänster som är tillgängliga på en Azure-plats med az network vnet list-endpoint-services. I följande exempel returneras en lista över tjänstslutpunktsaktiverade tjänster som är tillgängliga i regionen westus2 . Listan över tjänster som returneras växer med tiden när fler Azure-tjänster blir tjänstslutpunkter aktiverade.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Skapa ytterligare ett undernät i det virtuella nätverket med az network vnet subnet create. I det här exemplet skapas en tjänstslutpunkt för för Microsoft.Storage undernätet:

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

Som standard kan alla virtuella datorinstanser i ett undernät kommunicera med alla resurser. Du kan begränsa kommunikationen till och från alla resurser i ett undernät genom att skapa en nätverkssäkerhetsgrupp och koppla den till undernätet.

1. Sök efter nätverkssäkerhetsgrupp i sökrutan överst på portalsidan. Välj Nätverkssäkerhetsgrupper i sökresultaten.

2. I Nätverkssäkerhetsgrupper väljer du + Skapa.

3. På fliken Grundläggande i Skapa nätverkssäkerhetsgrupp anger du eller väljer följande information:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Instansinformation
   Name	Ange nsg-storage.
   Region	Välj USA, östra 2.

4. Välj Granska + skapa och välj sedan Skapa.

1. Skapa en nätverkssäkerhetsgrupp med New-AzNetworkSecurityGroup. I följande exempel skapas en nätverkssäkerhetsgrupp med namnet nsg-private.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

Skapa en nätverkssäkerhetsgrupp med az network nsg create. I följande exempel skapas en nätverkssäkerhetsgrupp med namnet nsg-private.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

1. Sök efter nätverkssäkerhetsgrupp i sökrutan överst på portalsidan. Välj Nätverkssäkerhetsgrupper i sökresultaten.

2. Välj nsg-storage.

3. Välj Utgående säkerhetsregler i Inställningar.

4. Markera + Lägg till.

5. Skapa en regel som tillåter utgående kommunikation till Azure Storage-tjänsten. Ange eller välj följande information i Lägg till utgående säkerhetsregel:

   Inställning	Värde
   Source	Välj Service Tag (Tjänsttagg).
   Källtjänsttagg	Välj VirtualNetwork.
   Källportintervall	Lämna standardvärdet *.
   Mål	Välj Service Tag (Tjänsttagg).
   Måltjänsttagg	Välj Storage.
   Tjänst	Låt standardvärdet Anpassad vara kvar.
   Målportintervall	Ange 445.
   Protokoll	Välj Valfritt.
   Åtgärd	Markera Tillåt.
   Prioritet	Låt standardvärdet vara 100.
   Name	Ange allow-storage-all.

   

6. Markera + Lägg till.

7. Skapa en annan säkerhetsregel för utgående kommunikation som nekar utgående kommunikation till internet. Den här regeln åsidosätter en standardregel i alla nätverkssäkerhetsgrupper som tillåter utgående internetkommunikation. Slutför föregående steg med följande värden i Lägg till utgående säkerhetsregel:

   Inställning	Värde
   Source	Välj Service Tag (Tjänsttagg).
   Källtjänsttagg	Välj VirtualNetwork.
   Källportintervall	Lämna standardvärdet *.
   Mål	Välj Service Tag (Tjänsttagg).
   Måltjänsttagg	Välj Internet.
   Tjänst	Låt standardvärdet Anpassad vara kvar.
   Målportintervall	Ange *.
   Protokoll	Välj Valfritt.
   Åtgärd	Välj Neka.
   Prioritet	Lämna standardvärdet 110.
   Name	Ange neka internet-all.

   

8. Markera Lägga till.

9. Sök efter nätverkssäkerhetsgrupp i sökrutan överst på portalsidan. Välj Nätverkssäkerhetsgrupper i sökresultaten.

10. Välj nsg-storage.

11. Välj Undernät i Inställningar.

12. Välj + Associera.

13. I Associera undernät väljer du vnet-1 i Virtuellt nätverk. Välj undernät privat i undernät.

    

14. Välj OK.

1. Skapa säkerhetsregler för nätverkssäkerhetsgrupper med New-AzNetworkSecurityRuleConfig. Följande regel tillåter utgående åtkomst till de offentliga IP-adresser som tilldelats Azure Storage-tjänsten:

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Följande regel nekar åtkomst till alla offentliga IP-adresser. Den tidigare regeln åsidosätter den här regeln på grund av dess högre prioritet, vilket ger åtkomst till de offentliga IP-adresserna för Azure Storage.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Använd Get-AzNetworkSecurityGroup för att hämta nätverkssäkerhetsgruppobjektet till en variabel. Använd Set-AzNetworkSecurityRuleConfig för att lägga till reglerna i nätverkssäkerhetsgruppen.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Associera nätverkssäkerhetsgruppen till undernätets privata undernät med Set-AzVirtualNetworkSubnetConfig och skriv sedan undernätskonfigurationen till det virtuella nätverket. I följande exempel associeras nätverkssäkerhetsgruppen nsg-private med undernätets privata undernät:

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

1. Skapa säkerhetsregler med az network nsg rule create. Följande regel tillåter utgående åtkomst till de offentliga IP-adresser som tilldelats Azure Storage-tjänsten:

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Varje nätverkssäkerhetsgrupp innehåller flera standardsäkerhetsregler. Regeln som följer åsidosätter en standardsäkerhetsregel som tillåter utgående åtkomst till alla offentliga IP-adresser. Alternativet destination-address-prefix "Internet" nekar utgående åtkomst till alla offentliga IP-adresser. Den tidigare regeln åsidosätter den här regeln på grund av dess högre prioritet, vilket ger åtkomst till de offentliga IP-adresserna för Azure Storage.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Följande regel tillåter inkommande SSH-trafik till undernätet var som helst. Regeln åsidosätter en standardsäkerhetsregel som nekar all inkommande trafik från internet. SSH tillåts till undernätet så att anslutningen kan testas i ett senare steg.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Associera nätverkssäkerhetsgruppen till undernätets privata undernät med az network vnet subnet update. I följande exempel associeras nätverkssäkerhetsgruppen nsg-private med undernätets privata undernät:

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

De steg som krävs för att begränsa nätverksåtkomsten till resurser som skapats via Azure-tjänster, som är aktiverade för tjänstslutpunkter, varierar mellan olika tjänster. Läs dokumentationen för enskilda tjänster för specifika åtgärder för varje tjänst. Resten av den här självstudien innehåller steg för att begränsa nätverksåtkomsten för ett Azure Storage-konto, till exempel.

Skapa ett lagringskonto

Skapa ett Azure Storage-konto för stegen i den här artikeln. Om du redan har ett lagringskonto kan du använda det i stället.

1. I sökrutan överst i portalen anger du Lagringskonto. Välj Lagringskonton i sökresultatet.

2. Välj + Skapa.

3. På fliken Grundläggande i Skapa ett lagringskonto anger eller väljer du följande information:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din Azure-prenumerationen.
   Resursgrupp	Välj test-rg.
   Instansinformation
   Lagringskontonamn	Ange storage1. Om namnet inte är tillgängligt anger du ett unikt namn.
   Plats	Välj (USA) USA, östra 2.
   Prestanda	Lämna kvar standardinställningen Standard.
   Redundans	Välj Lokalt redundant lagring (LRS).

4. Välj Granska.

5. Välj Skapa.

1. Skapa ett Azure Storage-konto med New-AzStorageAccount. Ersätt <replace-with-your-unique-storage-account-name> med ett namn som är unikt på alla Azure-platser, mellan 3 och 24 tecken långt, med endast siffror och gemener.

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. När lagringskontot har skapats hämtar du nyckeln för lagringskontot till en variabel med Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   I den här självstudien används anslutningssträng för att ansluta till lagringskontot. Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Autentiseringsflödet som beskrivs i den här proceduren kräver en hög grad av förtroende för programmet och medför risker som inte finns i andra flöden. Du bör bara använda det här flödet när andra säkrare flöden, till exempel hanterade identiteter, inte är livskraftiga.

   Mer information om hur du ansluter till ett lagringskonto med hjälp av en hanterad identitet finns i Använda en hanterad identitet för att få åtkomst till Azure Storage.

   Nyckeln används för att skapa en filresurs i ett senare steg. Ange $storageAcctKey och notera värdet. Du anger den manuellt i ett senare steg när du mappar filresursen till en enhet på en virtuell dator.

De steg som behövs för att begränsa nätverksåtkomsten till resurser som har skapats via Azure-tjänster som är aktiverade för tjänstslutpunkter varierar från tjänst till tjänst. Läs dokumentationen för enskilda tjänster för specifika åtgärder för varje tjänst. Resten av den här artikeln innehåller steg för att begränsa nätverksåtkomsten för ett Azure Storage-konto, till exempel.

Skapa ett lagringskonto

1. Skapa ett Azure Storage-konto med az storage account create. Ersätt <replace-with-your-unique-storage-account-name> med ett namn som är unikt på alla Azure-platser, mellan 3 och 24 tecken långt, med endast siffror och gemener.

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. När lagringskontot har skapats hämtar du anslutningssträng för lagringskontot till en variabel med az storage account show-connection-string. Anslutningssträng används för att skapa en filresurs i ett senare steg.

   I den här självstudien används anslutningssträng för att ansluta till lagringskontot. Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Autentiseringsflödet som beskrivs i den här proceduren kräver en hög grad av förtroende för programmet och medför risker som inte finns i andra flöden. Du bör bara använda det här flödet när andra säkrare flöden, till exempel hanterade identiteter, inte är livskraftiga.

   Mer information om hur du ansluter till ett lagringskonto med hjälp av en hanterad identitet finns i Använda en hanterad identitet för att få åtkomst till Azure Storage.

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

1. I sökrutan överst i portalen anger du Lagringskonto. Välj Lagringskonton i sökresultatet.

2. I Lagringskonton väljer du det lagringskonto som du skapade i föregående steg.

3. I Datalagring väljer du Filresurser.

4. Välj + Filresurs.

5. Ange eller välj följande information i Ny filresurs:

   Inställning	Värde
   Name	Ange filresurs.
   Nivå	Lämna standardvärdet Transaktionsoptimerad.

6. Välj Nästa: Säkerhetskopiera.

7. Avmarkera Aktivera säkerhetskopiering.

8. Välj Granska + skapa och välj sedan Skapa.

1. Skapa en kontext för ditt lagringskonto och din nyckel med New-AzStorageContext. Kontexten kapslar in lagringskontots namn och kontonyckel:

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Skapa en filresurs med New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

1. Skapa en filresurs i lagringskontot med az storage share create. I ett senare steg monteras den här filresursen för att bekräfta nätverksåtkomsten till den.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

Som standard godkänner lagringskonton nätverksanslutningar från klienter i alla nätverk, inklusive internet. Du kan begränsa nätverksåtkomsten från Internet och alla andra undernät i alla virtuella nätverk (förutom undernätets privata undernät i det virtuella nätverket vnet-1 .)

Så här begränsar du nätverksåtkomsten till ett undernät:

1. I sökrutan överst i portalen anger du Lagringskonto. Välj Lagringskonton i sökresultatet.

2. Välj ditt lagringskonto.

3. I Säkerhet + nätverk väljer du Nätverk.

4. På fliken Brandväggar och virtuella nätverk väljer du Aktiverad från valda virtuella nätverk och IP-adresser i Offentlig nätverksåtkomst.

5. I Virtuella nätverk väljer du + Lägg till befintligt virtuellt nätverk.

6. I Lägg till nätverk anger eller väljer du följande information:

   Inställning	Värde
   Prenumeration	Välj din prenumeration.
   Virtuella nätverk	Välj vnet-1.
   Undernät	Välj undernät privat.

   

7. Markera Lägga till.

8. Spara konfigurationerna för virtuella nätverk genom att välja Spara .

   

1. Som standard godkänner lagringskonton nätverksanslutningar från klienter i alla nätverk. Om du vill begränsa åtkomsten till valda nätverk ändrar du standardåtgärden till Neka med Update-AzStorageAccountNetworkRuleSet. När nätverksåtkomst nekas är lagringskontot inte tillgängligt från något nätverk.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Hämta det skapade virtuella nätverket med Get-AzVirtualNetwork och hämta sedan det privata undernätsobjektet till en variabel med Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Tillåt nätverksåtkomst till lagringskontot från undernätets privata undernät med Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

1. Som standard godkänner lagringskonton nätverksanslutningar från klienter i alla nätverk. Om du vill begränsa åtkomsten till valda nätverk ändrar du standardåtgärden till Neka med az storage account update. När nätverksåtkomst nekas är lagringskontot inte tillgängligt från något nätverk.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Tillåt nätverksåtkomst till lagringskontot från undernätets privata undernät med az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Om du vill testa nätverksåtkomsten till ett lagringskonto distribuerar du en virtuell dator till varje undernät.

Skapa en virtuell testdator

Följande procedur skapar en virtuell testdator (VM) med namnet vm-1 i det virtuella nätverket.

1. I portalen söker du efter och väljer Virtuella datorer.

2. I Virtuella datorer väljer du + Skapa och sedan Virtuell Azure-dator.

3. På fliken Grundläggande i Skapa en virtuell dator anger eller väljer du följande information:

   Inställning	Värde
   Projektinformation
   Prenumeration	Välj din prenumeration.
   Resursgrupp	Välj test-rg.
   Instansinformation
   Virtual machine name	Ange vm-1.
   Region	Välj USA, östra 2.
   Tillgängliga alternativ	Välj Ingen infrastrukturredundans krävs.
   Säkerhetstyp	Låt standardvärdet Standard vara kvar.
   Bild	Välj Windows Server 2022 Datacenter – x64 Gen2.
   VM-arkitektur	Låt standardvärdet x64 vara kvar.
   Storlek	Välj en storlek.
   Administratörskonto
   Authentication type	Välj Lösenord.
   Username	Ange azureuser.
   Lösenord	Ange ett lösenord.
   Bekräfta lösenord	Ange lösenordet igen.
   Regler för inkommande portar
   Offentliga inkommande portar	Välj Ingen.

4. Välj fliken Nätverk överst på sidan.

5. Ange eller välj följande information på fliken Nätverk :

   Inställning	Värde
   Nätverksgränssnitt
   Virtuellt nätverk	Välj vnet-1.
   Undernät	Välj undernät-1 (10.0.0.0/24).
   Offentlig IP-adress	Välj Ingen.
   Nätverkssäkerhetsgrupp för nätverkskort	Visa avancerad.
   Konfigurera nätverkssäkerhetsgrupp	Välj Skapa ny. Ange nsg-1 som namn. Låt resten vara som standard och välj OK.

6. Låt resten av inställningarna vara som standard och välj Granska + skapa.

7. Granska inställningarna och välj Skapa.

Skapa den andra virtuella datorn

1. Skapa en andra virtuell dator som upprepar stegen i föregående avsnitt. Ersätt följande värden i Skapa en virtuell dator:

   Inställning	Värde
   Virtual machine name	Ange vm-private.
   Undernät	Välj undernät privat.
   Offentlig IP-adress	Välj Ingen.
   Nätverkssäkerhetsgrupp för nätverkskort	Välj Ingen.

   Varning

   Fortsätt inte till nästa steg förrän distributionen har slutförts.

Skapa din första virtuella dator

Skapa en virtuell dator i undernätets offentliga undernät med New-AzVM. När du kör kommandot som följer uppmanas du att ange autentiseringsuppgifter. De värden som du anger konfigureras som användarnamn och lösenord för den virtuella datorn.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

Skapa den andra virtuella datorn

Skapa en virtuell dator i undernätets privata undernät:

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Det tar några minuter för Azure att skapa den virtuella datorn. Fortsätt inte till nästa steg förrän Azure har skapat den virtuella datorn och returnerar utdata till PowerShell.

Om du vill testa nätverksåtkomsten till ett lagringskonto distribuerar du en virtuell dator till varje undernät.

Skapa din första virtuella dator

Skapa en virtuell dator i undernätets offentliga undernät med az vm create. Om det inte redan finns SSH-nycklar på en standardnyckelplats skapar kommandot dem. Om du vill använda en specifik uppsättning nycklar använder du alternativet --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

Det tar några minuter att skapa den virtuella datorn. När den virtuella datorn har skapats visar Azure CLI information som liknar följande exempel:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Skapa den andra virtuella datorn

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

Det tar några minuter att skapa den virtuella datorn.

Den virtuella dator som du skapade tidigare och som har tilldelats det undernäts-privata undernätet används för att bekräfta åtkomsten till lagringskontot. Den virtuella dator som du skapade i föregående avsnitt som har tilldelats undernätet-1 används för att bekräfta att åtkomsten till lagringskontot är blockerad.

Hämta åtkomstnyckel för lagringskonto

1. I sökrutan överst i portalen anger du Lagringskonto. Välj Lagringskonton i sökresultatet.

2. I Lagringskonton väljer du ditt lagringskonto.

3. I Säkerhet + nätverk väljer du Åtkomstnycklar.

4. Kopiera värdet för key1. Du kan behöva välja knappen Visa för att visa nyckeln.

   

5. I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.

6. Välj vm-private.

7. Välj Bastion i Åtgärder.

8. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn. Välj Anslut.

9. Öppna Windows PowerShell. Använd följande skript för att mappa Azure-filresursen för att köra Z.

   • Ersätt <storage-account-key> med nyckeln som du kopierade i föregående steg.

   • Ersätt <storage-account-name> med namnet på ditt lagringskonto. I det här exemplet är det storage8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell returnerar utdata som liknar följande exempelutdata:

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   Azure-fildelningen har mappats till enhet Z.

10. Stäng Bastion-anslutningen till vm-private.

Den virtuella dator som du skapade tidigare och som har tilldelats det undernäts-privata undernätet används för att bekräfta åtkomsten till lagringskontot. Den virtuella dator som du skapade i föregående avsnitt som har tilldelats undernätet-1 används för att bekräfta att åtkomsten till lagringskontot är blockerad.

Hämta åtkomstnyckel för lagringskonto

1. Logga in på Azure-portalen.

2. I sökrutan överst i portalen anger du Lagringskonto. Välj Lagringskonton i sökresultatet.

3. I Lagringskonton väljer du ditt lagringskonto.

4. I Säkerhet + nätverk väljer du Åtkomstnycklar.

5. Kopiera värdet för key1. Du kan behöva välja knappen Visa för att visa nyckeln.

   

6. I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.

7. Välj vm-private.

8. Välj Anslut och sedan Anslut via Bastion i Översikt.

9. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn. Välj Anslut.

10. Öppna Windows PowerShell. Använd följande skript för att mappa Azure-filresursen för att köra Z.

    • Ersätt <storage-account-key> med nyckeln som du kopierade i föregående steg.

    • Ersätt <storage-account-name> med namnet på ditt lagringskonto. I det här exemplet är det storage8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell returnerar utdata som liknar följande exempelutdata:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    Azure-fildelningen har mappats till enhet Z.

11. Bekräfta att den virtuella datorn inte har någon utgående anslutning till andra offentliga IP-adresser:

    ping bing.com
    

    Du får inga svar eftersom nätverkssäkerhetsgruppen som är associerad med det privata undernätet inte tillåter utgående åtkomst till andra offentliga IP-adresser än de adresser som tilldelats Azure Storage-tjänsten.

12. Stäng Bastion-anslutningen till vm-private.

SSH till den vm-privata virtuella datorn.

1. Kör följande kommando för att lagra IP-adressen för den virtuella datorn som en miljövariabel:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Skapa en mapp för en monteringspunkt:

   sudo mkdir /mnt/file-share
   

3. Montera Azure-filresursen i den katalog som du skapade. Innan du kör följande kommando ersätter <storage-account-name> du med kontonamnet och <storage-account-key> med nyckeln som du hämtade i Skapa ett lagringskonto.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Du får kommandotolken user@vm-private:~$ . Azure-filresursen har monterats på /mnt/filresurs.

4. Bekräfta att den virtuella datorn inte har någon utgående anslutning till andra offentliga IP-adresser:

   ping bing.com -c 4
   

   Du får inga svar eftersom nätverkssäkerhetsgruppen som är associerad med det undernäts-privata undernätet inte tillåter utgående åtkomst till andra offentliga IP-adresser än de adresser som tilldelats Azure Storage-tjänsten.

5. Avsluta SSH-sessionen till den vm-privata virtuella datorn.

Från vm-1

1. I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.

2. Välj vm-1.

3. Välj Bastion i Åtgärder.

4. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn. Välj Anslut.

5. Upprepa föregående kommando för att försöka mappa enheten till filresursen i lagringskontot. Du kan behöva kopiera åtkomstnyckeln för lagringskontot igen för den här proceduren:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Du bör få följande felmeddelande:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Stäng Bastion-anslutningen till vm-1.

Från en lokal dator

1. I sökrutan överst i portalen anger du Lagringskonto. Välj Lagringskonton i sökresultatet.

2. I Lagringskonton väljer du ditt lagringskonto.

3. I Datalagring väljer du Filresurser.

4. Välj filresurs.

5. Välj Bläddra i den vänstra menyn.

6. Du bör få följande felmeddelande:

   

Från vm-1

1. I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.

2. Välj vm-1.

3. Välj Bastion i Åtgärder.

4. Ange det användarnamn och lösenord som du angav när du skapade den virtuella datorn. Välj Anslut.

5. Upprepa föregående kommando för att försöka mappa enheten till filresursen i lagringskontot. Du kan behöva kopiera åtkomstnyckeln för lagringskontot igen för den här proceduren:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Du bör få följande felmeddelande:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Stäng Bastion-anslutningen till vm-1.

8. Från datorn försöker du visa filresurserna i lagringskontot med följande kommando:

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Åtkomst nekas. Du får utdata som liknar följande exempel.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Datorn finns inte i undernätets privata undernät i det virtuella nätverket vnet-1 .

SSH till den vm-offentliga virtuella datorn.

1. Kör följande kommando för att lagra IP-adressen för den virtuella datorn som en miljövariabel:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Skapa en katalog för en monteringspunkt:

   sudo mkdir /mnt/file-share
   

3. Försök att montera Azure-filresursen till den katalog som du skapade. Den här artikeln förutsätter att du har distribuerat den senaste versionen av Ubuntu. Om du använder tidigare versioner av Ubuntu kan du läsa Mer information om hur du monterar filresurser finns i Montera på Linux . Innan du kör följande kommando ersätter <storage-account-name> du med kontonamnet och <storage-account-key> med nyckeln som du hämtade i Skapa ett lagringskonto:

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Åtkomst nekas och du får ett mount error(13): Permission denied fel eftersom den virtuella datorn distribueras i undernätets offentliga undernät. Det offentliga undernätet har inte någon tjänstslutpunkt aktiverad för Azure Storage, och lagringskontot tillåter endast nätverksåtkomst från undernätets privata undernät, inte undernätets offentliga undernät.

4. Avsluta SSH-sessionen till den vm-offentliga virtuella datorn.

5. Från datorn försöker du visa resurserna i lagringskontot med az storage share list. Ersätt <account-name> och <account-key> med lagringskontots namn och nyckel från Skapa ett lagringskonto:

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   Åtkomst nekas och du får en Den här begäran har inte behörighet att utföra det här åtgärdsfelet , eftersom datorn inte finns i undernätets privata undernät i det virtuella nätverket vnet-1 .

När du är klar med de resurser som du skapade kan du ta bort resursgruppen och alla dess resurser.

1. I Azure Portal söker du efter och väljer Resursgrupper.

2. På sidan Resursgrupper väljer du resursgruppen test-rg .

3. På sidan test-rg väljer du Ta bort resursgrupp.

4. Ange test-rg i Ange resursgruppsnamn för att bekräfta borttagningen och välj sedan Ta bort.

När den inte längre behövs kan du använda Remove-AzResourceGroup för att ta bort resursgruppen och alla resurser som den innehåller:

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

Rensa resurser

När den inte längre behövs använder du az group delete för att ta bort resursgruppen och alla resurser som den innehåller.

az group delete \
    --name test-rg \
    --yes \
    --no-wait