Руководство по ограничению сетевого доступа к ресурсам PaaS с помощью конечных точек службы виртуальной сети

• Учетная запись Azure с активной подпиской. Создайте ее бесплатно.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант	Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.

4. Нажмите клавишу ВВОД, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

1. На портале найдите и выберите "Виртуальные сети".

2. На странице Виртуальные сети выберите команду + Создать.

3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите Создать. Введите test-rg для имени. Нажмите кнопку ОК.
   Сведения об экземпляре
   Имя.	Введите vnet-1.
   Область/регион	Выберите регион Восточная часть США 2.

   

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. В разделе "Бастион Azure" выберите "Включить Бастион Azure".

   Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?

   Примечание.

   Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

6. В Бастионе Azure введите или выберите следующие сведения:

   Параметр	Значение
   Имя узла Бастиона Azure	Введите бастион.
   Общедоступный IP-адрес Бастиона Azure	Выберите " Создать общедоступный IP-адрес". Введите public-ip-бастион в поле "Имя". Нажмите кнопку ОК.

   

7. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов .

8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

   Параметр	Значение
   Назначение подсети	Оставьте значение по умолчанию по умолчанию.
   Имя.	Введите подсеть-1.
   IРv4
   Диапазон адресов IPv4	Оставьте значение по умолчанию 10.0.0.0/16.
   Начальный адрес	Оставьте значение по умолчанию 10.0.0.0.
   Размер	Оставьте значение по умолчанию /24 (256 адресов).

   

10. Выберите Сохранить.

11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

Конечные точки службы включены для каждой службы, для каждой подсети.

1. В поле поиска в верхней части страницы портала найдите виртуальную сеть. В результатах поиска выберите Виртуальные сети.

2. В виртуальных сетях выберите виртуальную сеть-1.

3. В разделе "Параметры" виртуальной сети-1 выберите подсети.

4. Выберите +Подсеть.

5. На странице "Добавление подсети" введите или выберите следующие сведения:

   Параметр	Значение
   Имя.	subnet-private
   Диапазон адресов подсети	Оставьте значение по умолчанию 10.0.2.0/24.
   КОНЕЧНЫЕ ТОЧКИ СЛУЖБЫ
   Службы	Выберите элемент Microsoft.Storage.

6. Выберите Сохранить.

Создание виртуальной сети

1. Перед созданием виртуальной сети необходимо создать для нее группу ресурсов и другие компоненты, указанные в этой статье. Создайте группу ресурсов с помощью командлета New-AzResourceGroup. В следующем примере создается группа ресурсов с именем test-rg:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Создайте виртуальную сеть с помощью командлета New-AzVirtualNetwork. В следующем примере создается виртуальная сеть с именем vnet-1 с префиксом адреса 10.0.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Создайте конфигурацию подсети с помощью командлета New-AzVirtualNetworkSubnetConfig. В следующем примере создается конфигурация подсети для подсети с именем subnet-public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Создайте подсеть в виртуальной сети, записав конфигурацию подсети в виртуальную сеть с помощью командлета Set-AzVirtualNetwork.

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Создайте другую подсеть в виртуальной сети. В этом примере создается подсеть с именем subnet-private с конечной точкой службы для Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Развертывание Бастиона Azure

Бастион Azure использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Дополнительные сведения о Бастионе см. в статье "Что такое Бастион Azure?".

Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

1. Настройте подсеть Бастиона для виртуальной сети. Эта подсеть зарезервирована исключительно для ресурсов Бастиона и должна называться AzureBastionSubnet.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Задайте конфигурацию:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Создайте общедоступный IP-адрес бастиона. Узел Бастиона использует общедоступный IP-адрес для доступа к SSH и RDP через порт 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Используйте команду New-AzBastion для создания нового стандартного узла Бастиона в AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Развертывание ресурсов Бастиона занимает около 10 минут. Виртуальные машины можно создать в следующем разделе, пока бастион развертывается в виртуальной сети.

Создание виртуальной сети

1. Перед созданием виртуальной сети необходимо создать для нее группу ресурсов и другие компоненты, указанные в этой статье. Создайте группу ресурсов с помощью команды az group create. В следующем примере создается группа ресурсов с именем test-rg в расположении westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Создайте виртуальную сеть с одной подсетью при помощи команды az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. Вы можете включить конечные точки службы только для служб, поддерживающих эту функцию. Просмотрите, какие службы с поддержкой конечных точек службы доступны в расположении Azure, выполнив команду az network vnet list-endpoint-services. В следующем примере возвращается список служб с поддержкой конечной точки службы, доступных в регионе westus2 . Список возвращаемых служб со временем будет увеличиваться, так как поддержка конечных точек службы будет реализовываться во все большем числе служб Azure.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Создайте другую подсеть в виртуальной сети с помощью az network vnet subnet create. В этом примере для подсети создается конечная точка Microsoft.Storage службы:

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

По умолчанию все экземпляры виртуальных машин в подсети могут обмениваться данными со всеми ресурсами. Вы можете ограничить обмен данными со всеми ресурсами в подсети, создав группу безопасности сети и связав ее с подсетью.

1. В поле поиска в верхней части страницы портала найдите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. В группах безопасности сети нажмите кнопку +Создать.

3. На вкладке основных сведений страницы Создание группы безопасности сети введите или выберите указанные ниже значения параметров.

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите nsg-storage.
   Область/регион	Выберите регион Восточная часть США 2.

4. Выберите Проверить и создать, а затем выберите Создать.

1. Создайте группу безопасности сети с помощью командлета New-AzNetworkSecurityGroup. В следующем примере создается группа безопасности сети с именем nsg-private.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

Создайте группу безопасности сети с помощью команды az network nsg create. В следующем примере создается группа безопасности сети с именем nsg-private.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

1. В поле поиска в верхней части страницы портала найдите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите nsg-storage.

3. В разделе Параметры выберите Правила безопасности для исходящего трафика.

4. Выберите Добавить.

5. Создайте правило, разрешающее исходящий обмен данными в службе хранилища Azure. Введите или выберите следующие сведения в правиле безопасности для исходящего трафика:

   Параметр	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Оставьте значение по умолчанию *.
   Назначение	Выберите Service Tag (Тег службы).
   Назначение: тег службы	Выберите Хранилище.
   Service	Оставьте значение по умолчанию custom.
   Диапазоны портов назначения	Введите 445.
   Протокол	Выберите Любые.
   Действие	Выберите Разрешить.
   Приоритет	Оставьте значение по умолчанию 100.
   Имя.	Введите allow-storage-all.

6. Выберите Добавить.

7. Создайте другое правило безопасности, которое запрещает исходящие подключения через Интернет. Это правило переопределяет правило по умолчанию во всех группах безопасности сети, которое позволяет исходящую связь через Интернет. Выполните предыдущие действия со следующими значениями в правиле безопасности для исходящего трафика:

   Параметр	Значение
   Оригинал	Выберите Service Tag (Тег службы).
   Тег службы источника	Выберите VirtualNetwork.
   Диапазоны исходных портов	Оставьте значение по умолчанию *.
   Назначение	Выберите Service Tag (Тег службы).
   Назначение: тег службы	Выберите Интернет.
   Service	Оставьте значение по умолчанию custom.
   Диапазоны портов назначения	Введите *.
   Протокол	Выберите Любые.
   Действие	Выберите Отклонить.
   Приоритет	Оставьте значение по умолчанию 110.
   Имя.	Введите deny-internet-all.

8. Выберите Добавить.

9. В поле поиска в верхней части страницы портала найдите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

10. Выберите nsg-storage.

11. В разделе Параметры выберите Подсети.

12. Нажмите + Связать.

13. В разделе "Связывание подсети" выберите виртуальную сеть-1 в виртуальной сети. Выберите подсеть частной в подсети.

14. Нажмите ОК.

1. Создайте правила безопасности для группы безопасности сети с помощью командлета New-AzNetworkSecurityRuleConfig. Приведенное ниже правило разрешает исходящий доступ к общедоступным IP-адресам, назначенным службе хранилища Azure.

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Следующее правило запрещает доступ ко всем общедоступным IP-адресам. Предыдущее правило переопределяет это правило ввиду более высокого приоритета. Оно предоставляет доступ к общедоступным IP-адресам службы хранилища Azure.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Используйте Get-AzNetworkSecurityGroup , чтобы получить объект группы безопасности сети в переменную. Используйте Set-AzNetworkSecurityRuleConfig , чтобы добавить правила в группу безопасности сети.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Свяжите группу безопасности сети с подсетью частной подсети с Set-AzVirtualNetworkSubnetConfig , а затем запишите конфигурацию подсети в виртуальную сеть. В следующем примере группа безопасности сети nsg-private network связывается с подсетью-частной подсетью:

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

1. Создайте правила безопасности командой az network nsg rule create. Приведенное ниже правило разрешает исходящий доступ к общедоступным IP-адресам, назначенным службе хранилища Azure.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Каждая группа безопасности сети содержит несколько правил безопасности по умолчанию. Следующее правило переопределяет правило безопасности по умолчанию, разрешающее исходящий доступ ко всем общедоступным IP-адресам. Параметр destination-address-prefix "Internet" запрещает доступ ко всем общедоступным IP-адресам. Предыдущее правило переопределяет это правило ввиду более высокого приоритета. Оно предоставляет доступ к общедоступным IP-адресам службы хранилища Azure.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Следующее правило разрешает входящий трафик SSH в подсеть из любого расположения. Это правило переопределяет правило безопасности по умолчанию, запрещающее весь входящий трафик из Интернета. Подключения SSH в подсети разрешены, чтобы позже можно было проверить возможность подключения.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Свяжите группу безопасности сети с подсетью частной подсети с az network vnet subnet update. В следующем примере группа безопасности сети nsg-private network связывается с подсетью-частной подсетью:

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

Действия, необходимые для ограничения сетевого доступа к ресурсам, созданным через службы Azure, которые включены для конечных точек служб, зависят от служб. Ознакомьтесь с документацией по отдельным службам, чтобы получить точные инструкции для них. В оставшейся части этого руководства в качестве примера приведены инструкции по ограничению сетевого доступа для учетной записи службы хранилища Azure.

Создание учетной записи хранилища

Создайте учетную запись служба хранилища Azure для действий, описанных в этой статье. Если у вас уже есть учетная запись хранения, ее можно использовать.

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выбор Учетные записи хранения в результатах поиска.

2. Выберите + Создать.

3. На вкладке "Основные сведения" в разделе "Создание учетной записи хранения" введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку Azure.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Storage account name	Введите storage1. Если имя недоступно, введите уникальное имя.
   Расположение	Выберите регион (США) Восточная часть США 2.
   Производительность	Оставьте значение по умолчанию Стандартная.
   Избыточность	Выберите Локально избыточное хранилище (LRS).

4. Щелкните элемент Review (Проверить).

5. Нажмите кнопку создания.

1. Чтобы создать учетную запись хранения Azure, используйте командлет New-AzStorageAccount. Замените <replace-with-your-unique-storage-account-name> именем, которое является уникальным для всех расположений Azure, содержащим только цифры и строчные буквы (длиной от 3 до 24 знаков).

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. После создания учетной записи хранения передайте ее ключ в переменную, выполнив командлет Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   В целях этого руководства строка подключения используется для подключения к учетной записи хранения. Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует высокого уровня доверия к приложению и несет риски, которые не присутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.

   Дополнительные сведения о подключении к учетной записи хранения с помощью управляемого удостоверения см. в статье "Использование управляемого удостоверения для доступа к служба хранилища Azure".

   Этот ключ потребуется для создания файлового ресурса на более позднем этапе. Введите $storageAcctKey и запишите значение. При сопоставлении общей папки с диском виртуальной машины вручную введите его на более позднем шаге.

Действия, необходимые для ограничения сетевого доступа к ресурсам, созданным с помощью служб Azure, использующих конечные точки службы, отличаются в зависимости службы. Ознакомьтесь с документацией по отдельным службам, чтобы получить точные инструкции для них. В оставшейся части этой статьи в качестве примера приведены инструкции по ограничению сетевого доступа для учетной записи хранения Azure.

Создание учетной записи хранилища

1. Создайте учетную запись хранения Azure с помощью команды az storage account create. Замените <replace-with-your-unique-storage-account-name> именем, которое является уникальным для всех расположений Azure, содержащим только цифры и строчные буквы (длиной от 3 до 24 знаков).

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. После создания учетной записи хранения передайте ее строку подключения в переменную, выполнив команду az storage account show-connection-string. Строка подключения используется для создания файлового ресурса на более позднем этапе.

   В целях этого руководства строка подключения используется для подключения к учетной записи хранения. Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует высокого уровня доверия к приложению и несет риски, которые не присутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.

   Дополнительные сведения о подключении к учетной записи хранения с помощью управляемого удостоверения см. в статье "Использование управляемого удостоверения для доступа к служба хранилища Azure".

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выбор Учетные записи хранения в результатах поиска.

2. В учетных записях хранения выберите учетную запись хранения, созданную на предыдущем шаге.

3. В хранилище данных выберите общие папки.

4. Нажмите + Общая папка.

5. Введите или выберите следующие сведения в новой общей папке:

   Параметр	Значение
   Имя.	Введите общую папку.
   Уровень	Оставьте значение по умолчанию оптимизировано для транзакций.

6. Нажмите кнопку "Далее" — резервное копирование.

7. Отмена выбора включения резервного копирования.

8. Выберите Проверить и создать, а затем выберите Создать.

1. Создайте объект контекста для учетной записи хранения и ключа, выполнив командлет New-AzStorageContext. Этот контекст инкапсулирует имя учетной записи хранения и ее ключ.

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Создайте файловый ресурс с помощью командлета New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

1. Создайте файловый ресурс в учетной записи хранения командой az storage share create. Позже этот файловый ресурс будет подключен для подтверждения сетевого доступа к нему.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

По умолчанию учетные записи хранения принимают сетевые подключения от клиентов из любой сети, включая Интернет. Вы можете ограничить доступ к сети из Интернета и все остальные подсети во всех виртуальных сетях (за исключением подсети частной подсети в виртуальной сети-1 ).)

Ограничение сетевого доступа к подсети:

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выбор Учетные записи хранения в результатах поиска.

2. Затем выберите учетную запись хранения.

3. В разделе "Безопасность и сеть" выберите "Сеть".

4. На вкладке "Брандмауэры и виртуальные сети" выберите "Включено" из выбранных виртуальных сетей и IP-адресов в доступе к общедоступной сети.

5. В виртуальных сетях выберите + Добавить существующую виртуальную сеть.

6. В разделе "Добавление сетей" введите или выберите следующие сведения:

   Параметр	Значение
   Отток подписок	Выберите свою подписку.
   Виртуальные сети	Выберите виртуальную сеть-1.
   подсети;	Выберите подсеть частной.

   

7. Выберите Добавить.

8. Нажмите кнопку "Сохранить", чтобы сохранить конфигурации виртуальной сети.

1. По умолчанию учетные записи хранения принимают сетевые подключения клиентов в любой сети. Чтобы разрешить доступ только из определенных сетей, укажите действие по умолчанию Запретить, выполнив командлет Update-AzStorageAccountNetworkRuleSet. После запрета доступа к сети учетная запись хранения недоступна из любой сети.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Извлеките созданную виртуальную сеть, выполнив командлет Get-AzVirtualNetwork, а затем передайте объект подсети Private в переменную с помощью командлета Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Разрешить сетевой доступ к учетной записи хранения из подсети-частной подсети с помощью Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

1. По умолчанию учетные записи хранения принимают сетевые подключения клиентов в любой сети. Чтобы ограничить доступ выбранными сетями, измените действие по умолчанию на Запретить, выполнив команду az storage account update. После запрета доступа к сети учетная запись хранения недоступна из любой сети.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Разрешить сетевой доступ к учетной записи хранения из подсети-частной подсети с помощью az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Чтобы проверить сетевой доступ к учетной записи хранения, разверните виртуальную машину в каждой подсети.

Создание тестовой виртуальной машины

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

1. На портале найдите и выберите "Виртуальные машины".

2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Virtual machine name	Введите vm-1.
   Область/регион	Выберите регион Восточная часть США 2.
   Параметры доступности	Выберите Избыточность инфраструктуры не требуется.
   Тип безопасности	Оставьте значение по умолчанию Стандартный.
   Изображения	Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения.
   Архитектура виртуальной машины	Оставьте значение по умолчанию x64.
   Размер	Выберите размер.
   Учетная запись администратора
   Тип аутентификации	выберите Пароль.
   Имя пользователя	Введите azureuser.
   Пароль	Введите пароль.
   Подтверждение пароля	Повторно введите пароль.
   Правила входящего порта
   Общедоступные входящие порты	Выберите Отсутствует.

4. Выберите вкладку "Сеть" в верхней части страницы.

5. На вкладке Сеть введите или выберите следующие значения параметров:

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите виртуальную сеть-1.
   Подсеть	Выберите подсеть-1 (10.0.0.0/24).
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Дополнительно.
   Настройка группы безопасности сети	Выберите Создать. Введите nsg-1 для имени. Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".

6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

7. Проверьте параметры и выберите Создать.

Создание второй виртуальной машины

1. Создайте вторую виртуальную машину, повторяющую шаги, описанные в предыдущем разделе. Замените следующие значения в разделе "Создание виртуальной машины".

   Параметр	Значение
   Virtual machine name	Введите vm-private.
   Подсеть	Выберите подсеть частной.
   Общедоступный IP-адрес	Выберите Отсутствует.
   Группа безопасности сети сетевого адаптера	Выберите Отсутствует.

   Предупреждение

   Не переходите к следующему шагу, пока развертывание не будет завершено.

Создание первой виртуальной машины

Создайте виртуальную машину в подсети с общедоступной подсетью с помощью New-AzVM. При выполнении следующей команды вам будет предложено указать учетные данные. В качестве вводимых значений указываются имя пользователя и пароль для виртуальной машины.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

Создание второй виртуальной машины

Создайте виртуальную машину в подсети-частной подсети:

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Создание виртуальной машины в Azure занимает несколько минут. Не продолжайте переходить к следующему шагу, пока Azure не завершит создание виртуальной машины и возвращает выходные данные в PowerShell.

Чтобы проверить сетевой доступ к учетной записи хранения, разверните виртуальную машину в каждой подсети.

Создание первой виртуальной машины

Создайте виртуальную машину в подсети подсети с помощью az vm create. Команда также создает ключи SSH, если они не существуют в расположении ключей по умолчанию. Чтобы использовать определенный набор ключей, используйте параметр --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

Создание виртуальной машины занимает несколько минут. После создания виртуальной машины в Azure CLI отображаются примерно такие данные:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Создание второй виртуальной машины

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

Создание виртуальной машины занимает несколько минут.

Созданная ранее виртуальная машина, назначенная подсети частной подсети, используется для подтверждения доступа к учетной записи хранения. Виртуальная машина, созданная в предыдущем разделе, назначенная подсети-1 , используется для подтверждения блокировки доступа к учетной записи хранения.

Получение ключа доступа к учетной записи хранения

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выбор Учетные записи хранения в результатах поиска.

2. В учетных записях хранения выберите учетную запись хранения.

3. В разделе "Безопасность и сеть" выберите ключи доступа.

4. Скопируйте значение key1. Чтобы отобразить ключ, может потребоваться выбрать кнопку "Показать ".

   

5. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

6. Выберите виртуальную машину частной.

7. Выберите бастион в операциях.

8. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

9. Откройте Windows PowerShell. Используйте следующий сценарий для сопоставления общей папки Azure с диском Z.

   • Замените <storage-account-key> ключ, скопированный на предыдущем шаге.

   • Замените <storage-account-name> именем своей учетной записи хранения. В этом примере это storage8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell вернет выходные данные, как в следующем примере.

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   Файловый ресурс Azure успешно подключен как диск Z.

10. Закройте подключение Бастиона к vm-private.

Созданная ранее виртуальная машина, назначенная подсети частной подсети, используется для подтверждения доступа к учетной записи хранения. Виртуальная машина, созданная в предыдущем разделе, назначенная подсети-1 , используется для подтверждения блокировки доступа к учетной записи хранения.

Получение ключа доступа к учетной записи хранения

1. Войдите на портал Azure.

2. В поле поиска в верхней части портала введите Учетная запись хранения. Выбор Учетные записи хранения в результатах поиска.

3. В учетных записях хранения выберите учетную запись хранения.

4. В разделе "Безопасность и сеть" выберите ключи доступа.

5. Скопируйте значение key1. Чтобы отобразить ключ, может потребоваться выбрать кнопку "Показать ".

   

6. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

7. Выберите виртуальную машину частной.

8. Выберите "Подключиться" и "Подключиться через бастион" в обзоре.

9. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

10. Откройте Windows PowerShell. Используйте следующий сценарий для сопоставления общей папки Azure с диском Z.

    • Замените <storage-account-key> ключ, скопированный на предыдущем шаге.

    • Замените <storage-account-name> именем своей учетной записи хранения. В этом примере это storage8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell вернет выходные данные, как в следующем примере.

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    Файловый ресурс Azure успешно подключен как диск Z.

11. Убедитесь, что виртуальная машина запрещает любые исходящие подключения с любых других общедоступных IP-адресов.

    ping bing.com
    

    Вы не получаете ответов, так как группа безопасности сети, связанная с частной подсетью, не разрешает исходящий доступ к общедоступным IP-адресам, кроме адресов, назначенных службе служба хранилища Azure.

12. Закройте подключение Бастиона к vm-private.

SSH в виртуальную машину с частной виртуальной машиной.

1. Выполните следующую команду, чтобы сохранить IP-адрес виртуальной машины в качестве переменной среды:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Создайте папку для точки подключения.

   sudo mkdir /mnt/file-share
   

3. Подключите файловый ресурс Azure к созданному каталогу. Прежде чем выполнить следующую команду, замените <storage-account-name> именем учетной записи и <storage-account-key> ключом, которые вы получили при создании учетной записи хранения.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Отобразится строка запроса user@vm-private:~$. Общая папка Azure успешно подключена к /mnt/file-share.

4. Убедитесь, что виртуальная машина запрещает любые исходящие подключения с любых других общедоступных IP-адресов.

   ping bing.com -c 4
   

   Вы не получаете ответов, так как группа безопасности сети, связанная с подсетью- частной подсети, не разрешает исходящий доступ к общедоступным IP-адресам, кроме адресов, назначенных службе служба хранилища Azure.

5. Выход из сеанса SSH на виртуальную машину с частной виртуальной машиной.

Из vm-1

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите vm-1.

3. Выберите бастион в операциях.

4. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

5. Повторите предыдущую команду, чтобы попытаться сопоставить диск с общей папкой в учетной записи хранения. Для этой процедуры может потребоваться скопировать ключ доступа к учетной записи хранения:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Должно появиться следующее сообщение об ошибке:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Закройте подключение Бастиона к vm-1.

С локального компьютера

1. В поле поиска в верхней части портала введите Учетная запись хранения. Выбор Учетные записи хранения в результатах поиска.

2. В учетных записях хранения выберите учетную запись хранения.

3. В хранилище данных выберите общие папки.

4. Выберите общую папку.

5. Выберите "Обзор " в меню слева.

6. Должно появиться следующее сообщение об ошибке:

   

Из vm-1

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите vm-1.

3. Выберите бастион в операциях.

4. Введите имя пользователя и пароль, указанные при создании виртуальной машины. Нажмите Подключиться.

5. Повторите предыдущую команду, чтобы попытаться сопоставить диск с общей папкой в учетной записи хранения. Для этой процедуры может потребоваться скопировать ключ доступа к учетной записи хранения:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. Должно появиться следующее сообщение об ошибке:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Закройте подключение Бастиона к vm-1.

8. Используя свой компьютер, попытайтесь просмотреть файловые ресурсы в учетной записи хранения, выполнив следующую команду.

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Отказано в доступе. Вы получите выходные данные, аналогичные следующему примеру.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Компьютер не является подсетью частной подсети виртуальной сети-1 .

SSH-подключение к виртуальной машине общедоступной виртуальной машины.

1. Выполните следующую команду, чтобы сохранить IP-адрес виртуальной машины в качестве переменной среды:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Создайте каталог для точки подключения.

   sudo mkdir /mnt/file-share
   

3. Попытайтесь подключить файловый ресурс Azure к созданному каталогу. В этой статье предполагается, что вы развернули последнюю версию Ubuntu. Если вы используете более ранние версии Ubuntu, ознакомьтесь с дополнительными инструкциями по подключению общих папок в Linux . Прежде чем выполнить следующую команду, замените <storage-account-name> именем учетной записи и <storage-account-key> ключом, которые вы получили при создании учетной записи хранения.

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   Доступ запрещен, и вы получаете ошибкуmount error(13): Permission denied, так как виртуальная виртуальная машина развертывается в подсети общедоступной подсети. В подсети общедоступной подсети не включена конечная точка службы для служба хранилища Azure, а учетная запись хранения разрешает доступ только к сети из подсети-частной подсети, а не подсети с общедоступной подсетью.

4. Выход из сеанса SSH на виртуальную машину общедоступной виртуальной машины.

5. Используя свой компьютер, попытайтесь просмотреть файловые ресурсы в учетной записи хранения, выполнив команду az storage share list. Замените <account-name> и <account-key> именем и ключом учетной записи хранения, полученными при создании учетной записи хранения.

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   Доступ запрещен, и вы получаете запрос не авторизован для выполнения этой операции , так как компьютер не находится в подсети частной подсети виртуальной сети-1 .

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg.

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы с помощью командлета Remove-AzResourceGroup:

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

Очистка ресурсов

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg \
    --yes \
    --no-wait