Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Начало работы с периметром безопасности сети путем создания периметра безопасности сети для Azure Key Vault с помощью Azure CLI. Периметр безопасности сети позволяет ресурсам Azure PaaS (PaaS)взаимодействовать в пределах явной доверенной границы. Затем вы создаёте и обновляете ассоциацию ресурсов PaaS в профиле периметра сетевой безопасности. Затем вы создаете и обновляете правила доступа к периметру безопасности сети. По завершении удалите все ресурсы, созданные в этой краткой инструкции.
Внимание
Периметр безопасности сети теперь общедоступен во всех общедоступных облачных регионах Azure. Сведения о поддерживаемых службах см. в разделе "Подключение ресурсов приватного канала " для поддерживаемых служб PaaS".
Требования
- Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
- Последняя версия Azure CLI, или вы можете использовать Azure Cloud Shell на портале.
- Для этой статьи требуется версия 2.38.0 или более поздняя версия Azure CLI. Если вы используете Azure Cloud Shell, последняя версия уже установлена.
- После обновления до последней версии Azure CLI импортируйте команды периметра безопасности сети с помощью
az extension add --name nsp.
Подключитесь к учетной записи Azure и выберите подписку
Чтобы приступить к работе, подключитесь к Azure Cloud Shell или используйте локальную среду CLI.
При использовании Azure Cloud Shell войдите и выберите подписку.
Если вы установили CLI локально, выполните вход с помощью следующей команды:
# Sign in to your Azure account az loginПосле того как вы войдете в оболочку, выберите локально вашу активную подписку, используя следующую команду:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Создание группы ресурсов и хранилища ключей
Прежде чем создать периметр безопасности сети, необходимо создать группу ресурсов и ресурс хранилища ключей с az group create и az keyvault create.
В этом примере создается группа ресурсов с именем группы ресурсов в расположении WestCentralUS и хранилище ключей с именем key-vault-YYYYDDMM в группе ресурсов со следующими командами:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Создание периметра безопасности сети
На этом шаге создайте периметр безопасности сети с помощью команды az network perimeter create .
Примечание.
Не помещайте личные или конфиденциальные данные в правила периметра безопасности сети или другую конфигурацию периметра безопасности сети.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Создавайте и обновляйте ассоциации ресурсов PaaS с новым профилем
На этом шаге вы создадите новый профиль и ассоциируете ресурс PaaS, Azure Key Vault, с профилем, используя команды az network perimeter profile create и az network perimeter association create.
Примечание.
Замените значения параметров --private-link-resource и --profile соответственно на значения для хранилища ключей <PaaSArmId> и идентификатора профиля <networkSecurityPerimeterProfileId>.
Создайте новый профиль для периметра безопасности сети с помощью следующей команды:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterСвяжите azure Key Vault (ресурс PaaS) с профилем периметра безопасности сети с помощью следующих команд.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Обновите связь, изменив режим доступа на enforced с помощью команды az network perimeter association create, как показано ниже.
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Управление правилами доступа к периметру безопасности сети
На этом шаге вы создаете, обновляете и удаляете правила доступа к периметру безопасности сети с префиксами общедоступного IP-адреса, используя команду az network perimeter profile access-rule create.
Создайте правило входящего доступа с префиксом общедоступного IP-адреса для профиля, созданного с помощью следующей команды:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Обновите правило входящего доступа с помощью другого префикса общедоступного IP-адреса с помощью следующей команды:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Если необходимо удалить правило доступа, используйте команду: az network perimeter profile access-rule delete
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Примечание.
Если управляемое удостоверение не назначено ресурсу, который его поддерживает, исходящий доступ к другим ресурсам в том же периметре будет запрещен. Подписочные правила для входящих подключений, предназначенные для разрешения доступа к этому ресурсу, не будут действовать.
Удаление всех ресурсов
Чтобы удалить сетевой периметр безопасности и другие ресурсы в этом кратком запуске, используйте следующие команды az network perimeter:
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Примечание.
Удаление ассоциации вашего ресурса из периметра безопасности сети приводит к тому, что управление доступом возвращается к существующей конфигурации брандмауэра ресурса. Это может привести к тому, что доступ разрешен или запрещен в конфигурации брандмауэра ресурсов. Если для PublicNetworkAccess задано значение SecuredByPerimeter и связь удалена, ресурс введет заблокированное состояние. Дополнительные сведения см. в разделе "Переход на периметр безопасности сети" в Azure.