Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Частная конечная точка Azure — ключевой компонент для построения Приватного канала в Azure. Это позволяет ресурсам Azure, таким как виртуальные машины, конфиденциально и безопасно обмениваться данными с ресурсами Приватного канала, например со службой хранилища Azure.
В этом руководстве описано следующее:
- Create a virtual network and bastion host.
- Создайте учетную запись хранения и отключите общедоступный доступ.
- Создайте частную конечную точку для учетной записи хранения.
- Создайте виртуальную машину.
- Test connectivity to the storage account private endpoint.
Предварительные условия
- Подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
Вход в Azure
Войдите на портал Azure.
Создание виртуальной сети и узла Бастиона Azure
Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:
На портале найдите и выберите "Виртуальные сети".
На странице Виртуальные сети выберите команду + Создать.
На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:
Настройка Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите Создать новое.
Введите test-rg для имени.
Нажмите кнопку ОК.Instance details Имя. Введите vnet-1. Область/регион Выберите регион Восточная часть США 2. 
Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".
В разделе «Бастион Azure» выберите «Включить Бастион Azure».
Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?
Примечание.
Почасовое начисление тарифа начинается с момента развертывания Бастиона, независимо от объема исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.
Введите или выберите следующие сведения в Azure Bastion:
Настройка Значение Имя хоста Azure Bastion Enter bastion. Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
Enter public-ip-bastion in Name.
Нажмите кнопку ОК.
Нажмите «Далее», чтобы перейти на вкладку IP-адреса.
В поле адресного пространства в подсетях выберите подсеть по умолчанию .
В разделе "Изменить подсеть" введите или выберите следующие сведения:
Настройка Значение Назначение подсети Оставьте значение Default по умолчанию. Имя. Enter subnet-1. IРv4 Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16. Начальный адрес Оставьте значение по умолчанию 10.0.0.0. Размер Оставьте значение по умолчанию /24 (256 адресов). 
Выберите Сохранить.
Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.
Создание учетной записи хранилища
Создайте учетную запись хранилища Azure для выполнения шагов, описанных в этой статье. Если у вас уже есть учетная запись хранения, ее можно использовать.
В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.
Выберите + Создать.
На вкладке "Основные сведения" в разделе "Создание учетной записи хранения" введите или выберите следующие сведения:
Настройка Значение Сведения о проекте Подписка Выберите свою подписку Azure. Группа ресурсов Выберите test-rg. Instance details имя учетной записи хранилища Введите storage1. Если имя недоступно, введите уникальное имя. Расположение Выберите регион (США) Восточная часть США 2. Производительность Оставьте значение по умолчанию Стандартная. Redundancy Выберите Локально избыточное хранилище (LRS). Выберите Review.
Нажмите кнопку создания.
Отключение общедоступного доступа к учетной записи хранения
Перед созданием частной конечной точки рекомендуется отключить общедоступный доступ к учетной записи хранения. Чтобы отключить общедоступный доступ к учетной записи хранения, выполните следующие действия.
В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.
Выберите хранилище1 или имя существующей учетной записи хранения.
В разделе "Безопасность и сеть" выберите "Сеть".
На вкладке "Брандмауэры и виртуальные сети" в общедоступном сетевом доступе выберите "Отключено".
Выберите Сохранить.
Создание частной конечной точки
In the search box at the top of the portal, enter Private endpoint. Выберите Частные конечные точки.
Select + Create in Private endpoints.
На вкладке "Основы " создайте частную конечную точку, введите или выберите следующие сведения.
Настройка Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg Instance details Имя. Введите приватную конечную точку. Имя сетевого интерфейса Leave the default of private-endpoint-nic. Область/регион Выберите регион Восточная часть США 2. По завершении выберите Далее: Ресурс.
В области Ресурс введите или выберите следующие значения параметров.
Настройка Значение Способ подключения Оставьте значение по умолчанию Подключиться к ресурсу Azure в моем каталоге Подписка Выберите свою подписку. Тип ресурса Выберите Microsoft.Storage/storageAccounts. Ресурс Выберите storage-1 или учетную запись хранения. Target subresource Select blob. Выберите Далее: Виртуальная сеть.
В диалоговом окне Виртуальная сеть введите или выберите следующие данные.
Настройка Значение Сеть Виртуальная сеть Выберите vnet-1 (test-rg). Subnet Select subnet-1. Сетевая политика для частных конечных точек Выберите редактировать, чтобы применить сетевую политику для приватных конечных точек.
In Edit subnet network policy, select the checkbox next to Network security groups and Route Tables in the Network policies setting for all private endpoints in this subnet pull-down.
Нажмите кнопку "Сохранить".
Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек"Настройка Значение Конфигурация частного IP-адреса Выберите Динамическое выделение IP-адреса. Выберите Далее: DNS.
В разделе DNS оставьте значения по умолчанию. Выберите Далее: теги, а затем — Далее: просмотр и создание.
Нажмите кнопку создания.
Создание тестовой виртуальной машины
Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.
На портале найдите и выберите "Виртуальные машины".
На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.
На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:
Настройка Значение Сведения о проекте Подписка Выберите свою подписку. Группа ресурсов Выберите test-rg. Instance details Имя виртуальной машины Введите vm-1. Область/регион Выберите регион Восточная часть США 2. Параметры доступности Выберите Избыточность инфраструктуры не требуется. Тип безопасности Оставьте значение по умолчанию Стандартный. Изображение Выберите Windows Server 2022 Datacenter — x64 Gen2. Архитектура виртуальной машины Оставьте значение по умолчанию x64. Размер Выберите размер. Учетная запись администратора Тип аутентификации выберите Пароль. Имя пользователя Введите azureuser. Пароль Введите пароль. Подтверждение пароля Повторно введите пароль. Правила входящего порта Общедоступные входящие порты Выберите Отсутствует. Выберите вкладку "Сеть" в верхней части страницы.
На вкладке Сеть введите или выберите следующие значения параметров:
Настройка Значение Сетевой интерфейс Виртуальная сеть Выберите vnet-1. Subnet Select subnet-1 (10.0.0.0/24). Общедоступный IP-адрес Выберите Отсутствует. NIC network security group Выберите Дополнительно. Настройка группы безопасности сети Выберите Создать новое.
Введите nsg-1 для имени.
Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".
Проверьте параметры и выберите Создать.
Примечание.
Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.
Примечание.
Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.
IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:
- Общедоступный IP-адрес назначается виртуальной машине.
- Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
- Ресурс Azure NAT-шлюза назначается подсети виртуальной машины.
Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.
Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.
Ключ доступа к хранилищу
Ключ доступа к хранилищу необходим для последующих шагов. Перейдите к созданной ранее учетной записи хранилища и скопируйте строку подключения и ключ доступа от учетной записи хранилища.
В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.
Выберите учетную запись хранения, созданную на предыдущих шагах, или существующую учетную запись хранения.
На странице учетной записи хранения в разделе Безопасность + сеть выберите Ключи доступа.
Select Show, then select copy on the Connection string for key1.
Добавить блоб-контейнер
В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.
Выберите учетную запись хранения, созданную на предыдущих шагах.
В разделе Хранилище данных выберите Контейнеры.
Выберите + Контейнер, чтобы создать контейнер.
Введите контейнер в Имя и выберите Частный (без анонимного доступа) в разделе Общедоступный уровень доступа.
Нажмите кнопку создания.
Проверка подключения к частной конечной точке
В этом разделе вы используете виртуальную машину, созданную на предыдущих шагах, для подключения к учетной записи хранения через частную конечную точку с помощью Microsoft Azure Storage Explorer.
В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.
Выберите vm-1.
В Connect выберите Бастион.
Введите имя пользователя и пароль, указанные при создании виртуальной машины.
Нажмите Подключиться.
После подключения откройте на сервере Windows PowerShell.
Введите
nslookup <storage-account-name>.blob.core.windows.net. Замените элемент <storage-account-name> именем учетной записи хранения, созданной в предыдущих шагах. В следующем примере показаны выходные данные команды.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.netЧастный IP-адрес 10.0.0.10 возвращается для имени учетной записи хранения. Этот адрес находится в подсети subnet-1 виртуальной сети vnet-1, созданной ранее.
Установите Обозреватель службы хранилища Microsoft Azure на виртуальной машине.
После установки Обозревателя службы хранилища Microsoft Azure нажмите кнопку Готово. Оставьте флажок установленным, чтобы открыть приложение.
Выберите символ Power Plug, чтобы открыть диалоговое окно "Выбор ресурса" на панели инструментов слева.
В разделе "Выбор ресурса" выберите учетную запись хранения или службу, чтобы добавить соединение с вашей учетной записью хранилища, созданной на предыдущих шагах, в Microsoft Azure Storage Explorer.
На экране Выбор метода подключения выберите Строка подключения и нажмите кнопку Далее.
В поле Строка подключениявставьте строку подключения из учетной записи хранения, скопированную на предыдущих шагах. Имя учетной записи для хранения автоматически заполняется в поле под Отображаемым именем.
Выберите Далее.
В разделе Сводка убедитесь, что параметры заданы правильно.
Выберите Подключиться.
Выберите свою учетную запись из учетных записей хранения в меню обозревателя.
Expand the storage account and then Blob Containers.
Отображается созданный ранее контейнер .
Закройте подключение к vm-1.
Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.
Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.
На странице групп ресурсов выберите группу ресурсов test-rg.
На странице test-rg выберите "Удалить группу ресурсов".
Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".
Следующие шаги
Из этого руководства вы узнали, как создать следующее:
Virtual network and bastion host.
виртуальную машину;
аккаунт хранения и контейнер.
Узнайте, как подключиться к учетной записи Azure Cosmos DB с помощью частной конечной точки Azure: