Руководство по ограничению сетевого доступа к ресурсам PaaS с помощью конечных точек службы виртуальной сети

• Учетная запись Azure с активной подпиской. Создайте ее бесплатно.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант	Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.

4. Нажмите клавишу ВВОД, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Запустите Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в разделе Краткое руководство по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

1. На портале найдите и выберите "Виртуальные сети".

2. На странице Виртуальные сети выберите команду + Создать.

3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

   Настройка	Значение
   Сведения о проекте
   Подписка	Выберите свою подписку.
   Группа ресурсов	Выберите Создать новый. Введите test-rg для имени. Нажмите кнопку ОК.
   Сведения об экземпляре
   Имя.	Введите vnet-1.
   Область/регион	Выберите регион Восточная часть США 2.

   

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. В разделе Azure Bastion выберите Включить Azure Bastion.

   Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?

   Примечание.

   Почасовая оплата начинается с момента установки Bastion, независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

6. В Azure Bastion введите или выберите следующие сведения:

   Настройка	Значение
   Имя узла Бастиона Azure	Введите бастион.
   Общедоступный IP-адрес Бастиона Azure	Выберите " Создать общедоступный IP-адрес". Введите public-ip-бастион в поле Имя. Нажмите кнопку ОК.

   

7. Нажмите Далее, чтобы перейти на вкладку IP-адреса.

8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

   Настройка	Значение
   Назначение подсети	Оставьте значение по умолчанию.
   Имя.	Введите subnet-1.
   IРv4
   Диапазон адресов IPv4	Оставьте значение по умолчанию 10.0.0.0/16.
   Начальный адрес	Оставьте значение по умолчанию 10.0.0.0.
   Размер	Оставьте значение по умолчанию /24 (256 адресов).

   

10. Выберите Сохранить.

11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

Конечные точки службы активируются для каждой службы и каждой подсети.

1. В поле поиска в верхней части страницы портала найдите виртуальную сеть. В результатах поиска выберите Виртуальные сети.

2. В виртуальных сетях выберите виртуальную сеть-1.

3. В разделе "Параметры" виртуальной сети-1 выберите подсети.

4. Выберите + Подсеть.

5. На странице "Добавление подсети" введите или выберите следующие сведения:

   Настройка	Значение
   Имя.	subnet-private
   Диапазон адресов подсети	Оставьте значение по умолчанию 10.0.2.0/24.
   КОНЕЧНЫЕ ТОЧКИ СЛУЖБЫ
   Службы	Выберите элемент Microsoft.Storage.

6. Выберите Сохранить.

Создание виртуальной сети

1. Перед созданием виртуальной сети необходимо создать для нее группу ресурсов и другие компоненты, указанные в этой статье. Создайте группу ресурсов с помощью командлета PowerShell New-AzResourceGroup. В следующем примере создается группа ресурсов с именем test-rg:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Создайте виртуальную сеть с использованием New-AzVirtualNetwork. В следующем примере создается виртуальная сеть с именем vnet-1 с префиксом адреса 10.0.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Создайте конфигурацию подсети с помощью командлета New-AzVirtualNetworkSubnetConfig. В следующем примере создается конфигурация подсети для подсети с именем subnet-public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Создайте подсеть в виртуальной сети, записав параметры конфигурации подсети в виртуальную сеть с помощью команды Set-AzVirtualNetwork.

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Создайте другую подсеть в виртуальной сети. В этом примере создается подсеть с именем subnet-private с конечной точкой службы для Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Развертывание Бастиона Azure

Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе см. в статье "Что такое Бастион Azure?".

Почасовая цена начинается с момента развертывания бастиона, независимо от объема исходящего трафика. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

1. Настройте подсеть Бастиона для виртуальной сети. Эта подсеть зарезервирована исключительно для ресурсов Бастиона и должна называться AzureBastionSubnet.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Задайте конфигурацию:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Создайте общедоступный IP-адрес бастиона. Сервер Бастиона использует общедоступный IP-адрес для доступа к SSH и RDP по порту 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Используйте команду New-AzBastion для создания нового стандартного узла Бастиона в AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Развертывание ресурсов Бастиона занимает около 10 минут. В следующем разделе можно создать виртуальные машины, пока Bastion развертывается в вашей виртуальной сети.

Создание виртуальной сети

1. Перед созданием виртуальной сети необходимо создать для нее группу ресурсов и другие компоненты, указанные в этой статье. Создайте группу ресурсов с помощью команды az group create. В следующем примере создается группа ресурсов с именем test-rg в расположении westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Создайте виртуальную сеть с одной подсетью при помощи команды az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. Вы можете включить конечные точки службы только для служб, поддерживающих конечные точки службы. Просмотрите, какие службы с поддержкой конечных точек доступны в регионе Azure, выполнив команду az network vnet list-endpoint-services. В следующем примере возвращается список служб с поддержкой конечной точки службы, доступных в регионе westus2 . Список возвращаемых служб со временем будет увеличиваться, так как поддержка конечных точек службы будет реализовываться во все большем числе служб Azure.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Создайте другую подсеть в виртуальной сети с az network vnet subnet create. В этом примере для подсети создается конечная точка Microsoft.Storage службы:

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

По умолчанию все экземпляры виртуальных машин в подсети могут обмениваться данными со всеми ресурсами. Вы можете ограничить обмен данными со всеми ресурсами в подсети, создав группу безопасности сети и связав ее с подсетью.

1. В поле поиска в верхней части страницы портала найдите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. В группах безопасности сети нажмите кнопку +Создать.

3. На вкладке основных сведений страницы Создание группы безопасности сети введите или выберите указанные ниже значения параметров.

   Настройка	Значение
   Сведения о проекте
   Подписка	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите nsg-storage.
   Область/регион	Выберите регион Восточная часть США 2.

4. Выберите Проверить и создать, а затем выберите Создать.

1. Создайте группу безопасности сети с помощью командлета New-AzNetworkSecurityGroup. В следующем примере создается группа безопасности сети с именем nsg-private.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

Создайте группу безопасности сети с помощью команды az network nsg create. В следующем примере создается группа безопасности сети с именем nsg-private.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

1. В поле поиска в верхней части страницы портала найдите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите nsg-storage.

3. В разделе Параметры выберите Правила безопасности для исходящего трафика.

4. Выберите Добавить.

5. Создайте правило, разрешающее исходящий обмен данными в службе хранилища Azure. Введите или выберите следующие сведения в Добавить правило безопасности для исходящего трафика:

   Параметр	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Оставьте значение по умолчанию *.
   Назначение	Выберите Service Tag (Тег службы).
   Тег сервиса назначения	Выберите Хранилище.
   Сервис	Оставьте значение по умолчанию custom.
   Диапазоны портов назначения	Введите 445.
   Протокол	Выберите Любое.
   Действие	Выберите Разрешить.
   Приоритет	Оставьте значение по умолчанию 100.
   Имя.	Введите allow-storage-all.

6. Выберите Добавить.

7. Создайте другое правило безопасности, которое запрещает исходящие подключения через Интернет. Это правило переопределяет правило по умолчанию во всех группах безопасности сети, которое позволяет исходящую связь через Интернет. Воспользуйтесь следующими значениями в Добавить правило безопасности для исходящего трафика, чтобы завершить предыдущие шаги.

   Настройка	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Оставьте значение по умолчанию *.
   Назначение	Выберите Service Tag (Тег службы).
   Тег службы назначения	Выберите Интернет.
   Сервис	Оставьте значение по умолчанию custom.
   Диапазоны портов назначения	Введите *.
   Протокол	Выберите Любой.
   Действие	Выберите Отклонить.
   Приоритет	Оставьте значение по умолчанию 110.
   Имя.	Введите deny-internet-all.

8. Выберите Добавить.

9. В поле поиска в верхней части страницы портала найдите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

10. Выберите nsg-storage.

11. В разделе Параметры выберите Подсети.

12. Нажмите + Связать.

13. В разделе "Ассоциация подсети" выберите vnet-1 в виртуальной сети. Выберите subnet-private в разделе подсеть.

14. Нажмите ОК.

1. Создайте правила безопасности для группы защиты сети с помощью командлета PowerShell New-AzNetworkSecurityRuleConfig. Приведенное ниже правило разрешает исходящий доступ к общедоступным IP-адресам, назначенным службе хранилища Azure.

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Следующее правило запрещает доступ ко всем общедоступным IP-адресам. Предыдущее правило переопределяет это правило ввиду более высокого приоритета. Оно предоставляет доступ к общедоступным IP-адресам службы хранилища Azure.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Используйте Get-AzNetworkSecurityGroup , чтобы получить объект группы безопасности сети в переменную. Используйте Set-AzNetworkSecurityRuleConfig , чтобы добавить правила в группу безопасности сети.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Присоедините группу безопасности сети к подсети subnet-private с помощью Set-AzVirtualNetworkSubnetConfig и затем запишите конфигурацию подсети в виртуальную сеть. В следующем примере группа безопасности сети nsg-private ассоциируется с подсетью subnet-private:

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

1. Создайте правила безопасности командой az network nsg rule create. Приведенное ниже правило разрешает исходящий доступ к общедоступным IP-адресам, назначенным службе хранилища Azure.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Каждая группа безопасности сети содержит несколько правил безопасности по умолчанию. Следующее правило переопределяет правило безопасности по умолчанию, разрешающее исходящий доступ ко всем общедоступным IP-адресам. Параметр destination-address-prefix "Internet" запрещает доступ ко всем общедоступным IP-адресам. Предыдущее правило переопределяет это правило ввиду более высокого приоритета. Оно предоставляет доступ к общедоступным IP-адресам службы хранилища Azure.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Следующее правило разрешает входящий трафик SSH в подсеть из любой точки. Это правило переопределяет правило безопасности по умолчанию, запрещающее весь входящий трафик из Интернета. В подсети разрешено использование SSH, так чтобы позже можно было проверить подключение.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Свяжите группу безопасности сети с частной подсетью с помощью команды az network vnet subnet update. В следующем примере группа безопасности сети nsg-private связывается с подсеть-частная подсетью:

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

Действия, необходимые для ограничения сетевого доступа к ресурсам, созданным через службы Azure, которые включены для конечных точек служб, зависят от служб. Ознакомьтесь с документацией по отдельным службам, чтобы получить точные инструкции для них. В оставшейся части этого руководства в качестве примера приведены инструкции по ограничению сетевого доступа для учетной записи службы хранилища Azure.

Создание учетной записи хранилища

Создайте учетную запись хранилища Azure для шагов, описанных в этой статье. Если у вас уже есть учетная запись хранения, ее можно использовать.

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.

2. Выберите + Создать.

3. На вкладке "Основные сведения" в разделе "Создание учетной записи хранения" введите или выберите следующие сведения:

   Настройка	Значение
   Сведения о проекте
   Подписка	Выберите свою подписку Azure.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Название учетной записи хранилища	Введите storage1. Если имя недоступно, введите уникальное имя.
   Расположение	Выберите регион (США) Восточная часть США 2.
   Производительность	Оставьте значение по умолчанию Стандартная.
   Избыточность	Выберите Локально избыточное хранилище (LRS).

4. Выберите Review.

5. Нажмите кнопку создания.

1. Чтобы создать учетную запись хранения Azure, используйте командлет New-AzStorageAccount. Замените <replace-with-your-unique-storage-account-name> именем, которое является уникальным для всех расположений Azure, содержащим только цифры и строчные буквы (длиной от 3 до 24 знаков).

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. После создания учетной записи хранения получите ключ учетной записи хранения и сохраните его в переменной, выполнив командлет Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   Этот ключ потребуется для создания файлового ресурса на более позднем этапе. Введите $storageAcctKey и запишите значение. Вы вручную вводите его на более позднем шаге, когда сопоставляете общую папку с диском в виртуальной машине.

Действия, необходимые для ограничения сетевого доступа к ресурсам, созданным с помощью служб Azure, использующих конечные точки службы, отличаются в зависимости службы. Ознакомьтесь с документацией по отдельным службам, чтобы получить точные инструкции для них. В оставшейся части этой статьи в качестве примера приведены инструкции по ограничению сетевого доступа для учетной записи хранения Azure.

Создание учетной записи хранилища

1. Создайте учетную запись хранения Azure с помощью команды az storage account create. Замените <replace-with-your-unique-storage-account-name> именем, которое является уникальным для всех расположений Azure, содержащим только цифры и строчные буквы (длиной от 3 до 24 знаков).

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. После создания учетной записи хранения получите строку подключения для этой учетной записи и сохраните ее в переменной с помощью команды az storage account show-connection-string. Строка подключения используется для создания общего доступа к файлам на более позднем этапе.

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.

2. В учетных записях хранения выберите учетную запись хранения, созданную на предыдущем шаге.

3. В хранилище данных выберите общие папки.

4. Выберите + Общий доступ к файлам.

5. Введите или выберите следующие сведения в новой общей папке:

   Настройки	Значение
   Имя.	Введите общую папку.
   Уровень	Оставьте значение по умолчанию Оптимизировано для транзакций.

6. Нажмите кнопку "Далее" — резервное копирование.

7. Отмена выбора включения резервного копирования.

8. Выберите Проверить и создать, а затем выберите Создать.

1. Создайте объект контекста для учетной записи хранения и ключа, выполнив командлет New-AzStorageContext. Этот контекст инкапсулирует имя учетной записи хранения и ее ключ.

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Создайте общий доступ к файлам с помощью командлета New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

1. Создайте файловый ресурс в учетной записи хранения командой az storage share create. Позже этот файловый ресурс монтируется для подтверждения сетевого доступа к нему.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

По умолчанию учетные записи хранения принимают сетевые подключения от клиентов из любой сети, включая Интернет. Вы можете ограничить доступ к сети из Интернета, а также ко всем остальным подсетям во всех виртуальных сетях (за исключением подсети subnet-private в виртуальной сети vnet-1).

Ограничение сетевого доступа к подсети:

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.

2. Затем выберите учетную запись хранения.

3. В разделе "Безопасность и сеть" выберите "Сеть".

4. На вкладке "Брандмауэры и виртуальные сети" выберите "Включено из выбранных виртуальных сетей и IP-адресов" в доступе к общедоступной сети.

5. В виртуальных сетях выберите + Добавить существующую виртуальную сеть.

6. В разделе "Добавление сетей" введите или выберите следующие сведения:

   Настройка	Значение
   Подписка	Выберите свою подписку.
   Виртуальные сети	Выберите vnet-1.
   подсети;	Выберите subnet-private.

   

7. Выберите Добавить.

8. Нажмите кнопку "Сохранить", чтобы сохранить конфигурации виртуальной сети.

1. По умолчанию учетные записи хранения принимают сетевые подключения клиентов в любой сети. Чтобы ограничить доступ к выбранным сетям, измените действие по умолчанию на Запретить, используя командлет Update-AzStorageAccountNetworkRuleSet. После запрета доступа к сети учетная запись хранения недоступна из любой сети.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Извлеките созданную виртуальную сеть, выполнив командлет Get-AzVirtualNetwork, а затем передайте объект подсети Private в переменную с помощью командлета Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Разрешить сетевой доступ к учетной записи хранения из подсети-частной подсети с помощью Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

1. По умолчанию учетные записи хранения принимают сетевые подключения клиентов в любой сети. Чтобы ограничить доступ выбранными сетями, измените действие по умолчанию на Запретить, выполнив команду az storage account update. После запрета доступа к сети учетная запись хранения недоступна из любой сети.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Разрешить сетевой доступ к учетной записи хранения из подсети-частной с помощью команды az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Чтобы проверить сетевой доступ к учетной записи хранения, разверните виртуальную машину в каждой подсети.

Создание тестовой виртуальной машины

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

1. На портале найдите и выберите "Виртуальные машины".

2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

   Настройки	Значение
   Сведения о проекте
   Подписка	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя виртуальной машины	Введите vm-1.
   Область/регион	Выберите регион Восточная часть США 2.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Оставьте значение по умолчанию Стандартный.
   Изображение	Выберите Windows Server 2022 Datacenter - x64 Gen2.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	выберите Пароль.
   Имя пользователя	Введите azureuser.
   Пароль	Введите пароль.
   Подтверждение пароля	Повторно введите пароль.
   Правила входящего порта
   Общедоступные входящие порты	Выберите Отсутствует.

4. Выберите вкладку "Сеть" в верхней части страницы.

5. На вкладке Сеть введите или выберите следующие значения параметров:

   Настройка	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите vnet-1.
   Подсеть	Выберите подсеть-1 (10.0.0.0/24).
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Дополнительно.
   Настройка группы безопасности сети	Выберите Создать новый. Введите nsg-1 для имени. Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".

6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

7. Проверьте параметры и выберите Создать.

Создание второй виртуальной машины

1. Создайте вторую виртуальную машину, повторяющую шаги, описанные в предыдущем разделе. Замените следующие значения в разделе "Создание виртуальной машины".

   Настройка	Значение
   Имя виртуальной машины	Введите vm-private.
   Подсеть	Выберите частную подсеть.
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сетевого адаптера	Выберите Отсутствует.

   Предупреждение

   Не переходите к следующему шагу, пока развертывание не будет завершено.

Создание первой виртуальной машины

Создайте виртуальную машину в подсети subnet-public с использованием New-AzVM. При выполнении следующей команды вам будет предложено указать учетные данные. В качестве вводимых значений указываются имя пользователя и пароль для виртуальной машины.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

Создание второй виртуальной машины

Создайте виртуальную машину в подсети subnet-private.

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Создание виртуальной машины в Azure занимает несколько минут. Не продолжайте переходить к следующему шагу, пока Azure не завершит создание виртуальной машины и возвращает выходные данные в PowerShell.

Чтобы проверить сетевой доступ к учетной записи хранения, разверните виртуальную машину в каждой подсети.

Создание первой виртуальной машины

Создайте виртуальную машину в subnet-public с помощью команды az vm create. Команда также создает ключи SSH, если они не существуют в расположении ключей по умолчанию. Чтобы использовать определенный набор ключей, используйте параметр --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

Создание виртуальной машины занимает несколько минут. После создания виртуальной машины в Azure CLI отображаются примерно такие данные:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Создание второй виртуальной машины

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

Создание виртуальной машины занимает несколько минут.

Созданная ранее виртуальная машина, назначенная в subnet-private подсеть, используется для подтверждения доступа к учетной записи хранения. Виртуальная машина, созданная в предыдущем разделе и назначенная в подсеть subnet-1, используется для подтверждения блокировки доступа к учетной записи хранения.

Получение ключа доступа к учетной записи хранения

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.

2. В учетных записях хранения выберите учетную запись хранения.

3. В разделе "Безопасность и сеть" выберите ключи доступа.

4. Скопируйте значение key1. Чтобы отобразить ключ, может потребоваться выбрать кнопку "Показать ".

   

5. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

6. Выберите vm-private.

7. Выберите Бастион в Операциях.

8. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

9. Откройте Windows PowerShell. Используйте следующий сценарий для сопоставления общей папки Azure с диском Z.

   • Замените <storage-account-key> на ключ, который вы скопировали на предыдущем шаге.

   • Замените <storage-account-name> именем своей учетной записи хранения. В этом примере это storage8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell вернет выходные данные, как в следующем примере.

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   Облачный файловый ресурс Azure успешно подключен как диск Z.

10. Закройте подключение Bastion к vm-private.

Созданная ранее виртуальная машина, назначенная подсети subnet-private, используется для подтверждения доступа к учетной записи хранилища. Виртуальная машина, созданная в предыдущем разделе и назначенная в подсеть-1, используется для подтверждения блокировки доступа к учетной записи хранения.

Получение ключа доступа к учетной записи хранения

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите Учетная запись хранения. Выберите Учетные записи хранения в результатах поиска.

3. В аккаунтах хранения выберите свой аккаунт хранения.

4. В разделе "Безопасность и сеть" выберите ключи доступа.

5. Скопируйте значение key1. Чтобы отобразить ключ, может потребоваться выбрать кнопку "Показать ".

   

6. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

7. Выберите vm-частная.

8. Выберите Подключиться, затем Подключиться через бастион в Обзор.

9. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

10. Откройте Windows PowerShell. Используйте следующий сценарий для сопоставления общей папки Azure с диском Z.

    • Замените <storage-account-key> на ключ, который вы скопировали на предыдущем шаге.

    • Замените <storage-account-name> именем своей учетной записи хранения. В этом примере это storage8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell вернет выходные данные, как в следующем примере.

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    Файловый ресурс Azure успешно сопоставлен с диском Z.

11. Убедитесь, что виртуальная машина запрещает любые исходящие подключения с любых других общедоступных IP-адресов.

    ping bing.com
    

    Вы не получаете ответов, так как группа безопасности сети, связанная с частной подсетью, не разрешает исходящий доступ к общедоступным IP-адресам, кроме адресов, назначенных службе служба хранилища Azure.

12. Закройте подключение Бастиона к vm-private.

SSH на виртуальную машину vm-private.

1. Выполните следующую команду, чтобы сохранить IP-адрес виртуальной машины в качестве переменной среды:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Создайте папку для точки подключения.

   sudo mkdir /mnt/file-share
   

3. Подключите файловое хранилище Azure к созданному каталогу. Прежде чем выполнить следующую команду, замените <storage-account-name> именем учетной записи и <storage-account-key> ключом, которые вы получили при создании учетной записи хранения.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Отобразится строка запроса user@vm-private:~$. Файловое хранилище Azure успешно подключено к /mnt/file-share.

4. Убедитесь, что виртуальная машина запрещает любые исходящие подключения с любых других общедоступных IP-адресов.

   ping bing.com -c 4
   

   Вы не получаете ответов, так как группа безопасности сети, связанная с подсетью- частной подсети, не разрешает исходящий доступ к общедоступным IP-адресам, кроме адресов, назначенных службе служба хранилища Azure.

5. Выйдите из сеанса SSH на vm-private ВМ.

Из vm-1

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите vm-1.

3. Выберите Бастион в Операциях.

4. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

5. Повторите предыдущую команду, чтобы попытаться сопоставить диск с общей папкой в учетной записи хранения. Для этой процедуры может потребоваться скопировать ключ доступа к учетной записи хранения:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Должно появиться следующее сообщение об ошибке:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Закройте подключение Бастиона к vm-1.

С локального компьютера

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выберите учетные записи хранения в результатах поиска.

2. В аккаунтах хранения выберите свой аккаунт хранения.

3. В хранилище данных выберите общие папки.

4. Выберите файлообмен.

5. Выберите "Обзор " в меню слева.

6. Должно появиться следующее сообщение об ошибке:

   

Из vm-1

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите vm-1.

3. Выберите Бастион в Операциях.

4. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

5. Повторите предыдущую команду, чтобы попытаться сопоставить диск с общей папкой в учетной записи хранения. Для этой процедуры может потребоваться скопировать ключ доступа к учетной записи хранения:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Должно появиться следующее сообщение об ошибке:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Закройте подключение Бастиона к vm-1.

8. Используя свой компьютер, попытайтесь просмотреть файловые ресурсы в учетной записи хранения, выполнив следующую команду.

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Отказано в доступе. Вы получите выходные данные, аналогичные следующему примеру.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Ваш компьютер не находится в подсети subnet-private виртуальной сети vnet-1.

SSH-подключитесь к виртуальной машине vm-public.

1. Выполните следующую команду, чтобы сохранить IP-адрес виртуальной машины в качестве переменной среды:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Создайте каталог для точки подключения.

   sudo mkdir /mnt/file-share
   

3. Попытайтесь подключить файловый ресурс Azure к каталогу, который вы создали. В этой статье предполагается, что вы развернули последнюю версию Ubuntu. Если вы используете более ранние версии Ubuntu, ознакомьтесь с дополнительными инструкциями по подключению общих папок в Linux . Прежде чем выполнить следующую команду, замените <storage-account-name> именем учетной записи и <storage-account-key> ключом, которые вы получили при создании учетной записи хранения.

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Доступ запрещен, и вы получаете ошибку mount error(13): Permission denied, так как виртуальная машина vm-public развернута в общедоступной подсети subnet-public. В подсети-общедоступной не включена конечная точка службы для хранения Azure, и учетная запись хранения разрешает сетевой доступ только из подсети-частной, а не из подсети-общедоступной.

4. Завершите сеанс SSH на виртуальной машине vm-public.

5. Используя свой компьютер, попытайтесь просмотреть файловые ресурсы в учетной записи хранения, выполнив команду az storage share list. Замените <account-name> и <account-key> именем и ключом учетной записи хранения, полученными при создании учетной записи хранения.

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   Доступ запрещен, и вы получаете ошибку этот запрос не авторизован для выполнения этой операции, так как ваш компьютер не находится в подсети subnet-private виртуальной сети vnet-1.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg.

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы с помощью командлета Remove-AzResourceGroup:

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

Очистка ресурсов

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg \
    --yes \
    --no-wait