Udostępnij przez

Samouczek: Połącz się z kontem magazynowym przy użyciu prywatnego punktu końcowego Azure

Prywatny punkt końcowy platformy Azure to podstawowy blok konstrukcyjny usługi Private Link na platformie Azure. Umożliwia ona zasobom platformy Azure, takim jak maszyny wirtualne, prywatną i bezpieczną komunikację z zasobami usługi Private Link, takimi jak usługa Azure Storage.

Diagram zasobów utworzonych w samouczku.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz sieć wirtualną i hosta bastionowego.
  • Utwórz konto przechowywania i wyłącz dostęp publiczny.
  • Utwórz prywatny punkt końcowy dla konta przechowywania.
  • Tworzy maszynę wirtualną.
  • Przetestuj łączność z prywatnym punktem końcowym konta magazynowego.

Wymagania wstępne

  • Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Logowanie się do platformy Azure

Zaloguj się w witrynie Azure Portal.

Tworzenie sieci wirtualnej i hosta usługi Azure Bastion

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Bastion:

  1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

  2. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.

  3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz pozycjęUtwórz nowy.
    Wprowadź test-rg jako nazwę.
    Wybierz przycisk OK.
    Szczegóły wystąpienia
    Nazwisko Wprowadź wartość vnet-1.
    Region Wybierz pozycję East US 2 (Wschodnie stany USA 2).

    Zrzut ekranu przedstawiający kartę Podstawowe informacje dotyczące tworzenia sieci wirtualnej w witrynie Azure Portal.

  4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

  5. W sekcji Azure Bastion wybierz pozycję Włącz usługę Azure Bastion.

    Usługa Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.

    Uwaga

    Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.

  6. W usłudze Azure Bastion wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Nazwa hosta usługi Azure Bastion Wprowadź bastion.
    Publiczny adres IP usługi Azure Bastion Wybierz pozycję Utwórz publiczny adres IP.
    Wprowadź public-ip-bastion w polu Nazwa.
    Wybierz przycisk OK.

    Zrzut ekranu przedstawiający opcje włączania hosta usługi Azure Bastion w ramach tworzenia sieci wirtualnej w witrynie Azure Portal.

  7. Wybierz Dalej, aby przejść do karty Adresy IP.

  8. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

  9. W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Cel podsieci Pozostaw wartość domyślną Domyślna.
    Nazwisko Wprowadź podsieć-1.
    Protokół IPv4
    Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16.
    Adres początkowy Pozostaw wartość domyślną 10.0.0.0.
    Rozmiar Pozostaw wartość domyślną /24 (256 adresów).

    Zrzut ekranu przedstawiający szczegóły konfiguracji podsieci.

  10. Wybierz pozycję Zapisz.

  11. Wybierz pozycję Przejrzyj i utwórz w dolnej części okna. Po zakończeniu walidacji wybierz pozycję Utwórz.

Utwórz konto pamięci masowej

Utwórz konto usługi Azure Storage na potrzeby kroków opisanych w tym artykule. Jeśli masz już konto magazynowe, możesz go użyć.

  1. W polu wyszukiwania w górnej części portalu wprowadź konto magazynowe. Wybierz pozycję Konta magazynowania w wynikach wyszukiwania.

  2. Wybierz + Utwórz.

  3. Na karcie Podstawy w sekcji Tworzenie konta magazynu wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję platformy Azure.
    Grupa zasobów Wybierz pozycję test-rg.
    Szczegóły wystąpienia
    Nazwa konta magazynu Wejdź do storage1. Jeśli nazwa jest niedostępna, wprowadź unikatową nazwę.
    Lokalizacja Wybierz (USA) Wschodnie USA 2.
    Wydajność Pozostaw wartość domyślną Standardowa.
    Redundancja Wybierz Lokalnie nadmiarowy magazyn (LRS).

  4. Wybierz opcję Przejrzyj.

  5. Wybierz pozycję Utwórz.

Wyłącz publiczny dostęp do konta przechowywania

Przed utworzeniem prywatnego punktu końcowego zaleca się wyłączenie publicznego dostępu do konta pamięci masowej. Wykonaj poniższe kroki, aby wyłączyć publiczny dostęp do konta magazynu.

  1. W polu wyszukiwania w górnej części portalu wprowadź konto magazynowe. Wybierz pozycję Konta magazynowania w wynikach wyszukiwania.

  2. Wybierz konto storage1 lub nazwę istniejącego konta magazynowego.

  3. W obszarze Zabezpieczenia i sieć wybierz pozycję Sieć.

  4. Na karcie Zapory i sieci wirtualne w obszarze Dostęp do sieci publicznej wybierz pozycję Wyłączone.

  5. Wybierz pozycję Zapisz.

Tworzenie prywatnego punktu końcowego

  1. W polu wyszukiwania na górze portalu wprowadź prywatny punkt końcowy. Wybierz Prywatne punkty końcowe.

  2. Wybierz pozycję + Utwórz na prywatnych punktach końcowych.

  3. Na karcie PodstawoweUtwórz prywatny punkt końcowywprowadź lub wybierz następujące informacje.

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz pozycję test-rg
    Szczegóły wystąpienia
    Nazwisko Wprowadź prywatny punkt końcowy.
    Nazwa interfejsu sieciowego Pozostaw wartość domyślną private-endpoint-nic.
    Region Wybierz pozycję East US 2 (Wschodnie stany USA 2).

  4. Wybierz pozycję Dalej: Zasób.

  5. W okienku Zasób wprowadź lub wybierz następujące informacje.

    Ustawienie Wartość
    Metoda połączenia Pozostaw wartość domyślną Połącz z zasobem platformy Azure w moim katalogu.
    Subskrypcja Wybierz subskrypcję.
    Typ zasobu Wybierz pozycję Microsoft.Storage/storageAccounts.
    Zasób Wybierz storage-1 lub konto przechowywania.
    Docelowy zasób podrzędny Wybierz blob.

  6. Wybierz pozycję Dalej: Sieć wirtualna.

  7. W obszarze Sieć wirtualna wprowadź lub wybierz następujące informacje.

    Ustawienie Wartość
    Sieć
    Sieć wirtualna Wybierz pozycję vnet-1 (test-rg).
    Podsieć Wybierz podsieć-1.
    Zasady sieci dla prywatnych punktów końcowych Wybierz pozycję Edytuj , aby zastosować zasady sieciowe dla prywatnych punktów końcowych.
    W Edytuj zasady sieciowe podsieci, zaznacz pole wyboru obok grup zabezpieczeń sieci i tablic tras w ustawieniu zasad sieciowych dla prywatnych punktów końcowych w tej podsieci.
    Wybierz pozycję Zapisz.

    Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami sieci dla prywatnych punktów końcowych
    Ustawienie Wartość
    Konfiguracja prywatnego adresu IP Wybierz Dynamicznie przydziel adres IP.

  8. Wybierz pozycję Dalej: DNS.

  9. Pozostaw wartości domyślne w systemie DNS. Wybierz Dalej: Tagi, a następnie Dalej: Recenzja i utwórz.

  10. Wybierz pozycję Utwórz.

Tworzenie testowej maszyny wirtualnej

Poniższa procedura tworzy testową maszynę wirtualną o nazwie vm-1 w sieci wirtualnej.

  1. W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.

  2. W obszarze Maszyny wirtualne wybierz pozycję + Utwórz, a następnie maszynę wirtualną platformy Azure.

  3. Na karcie Podstawy w oknie Tworzenie maszyny wirtualnej, wprowadź lub wybierz następujące informacje:

    Ustawienie Wartość
    Szczegóły projektu
    Subskrypcja Wybierz subskrypcję.
    Grupa zasobów Wybierz pozycję test-rg.
    Szczegóły wystąpienia
    Nazwa maszyny wirtualnej Wprowadź wartość vm-1.
    Region Wybierz pozycję East US 2 (Wschodnie stany USA 2).
    Opcje dostępności Wybierz Nie wymaga redundancji infrastruktury.
    Typ zabezpieczeń Pozostaw wartość domyślną standardu.
    obraz Wybierz pozycję Windows Server 2022 Datacenter — x64 Gen2.
    Architektura maszyny wirtualnej Pozostaw wartość domyślną x64.
    Rozmiar Wybierz rozmiar.
    Konto administratora
    Typ uwierzytelniania Wybierz Hasło.
    Username Wprowadź azureuser.
    Hasło Wprowadź hasło.
    Potwierdź hasło Wprowadź ponownie hasło.
    Reguły portów przychodzących
    Publiczne porty ruchu przychodzącego Wybierz Brak.

  4. Wybierz kartę Sieć w górnej części strony.

  5. Wprowadź lub wybierz następujące informacje na karcie Sieć :

    Ustawienie Wartość
    Interfejs sieciowy
    Sieć wirtualna Wybierz pozycję vnet-1.
    Podsieć Wybierz podsieć-1 (10.0.0.0/24).
    Publiczny adres IP Wybierz Brak.
    Grupa zabezpieczeń sieciowych NIC Wybierz opcję Zaawansowane.
    Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
    Wprowadź nsg-1 jako nazwę.
    Pozostaw wartości domyślne pozostałych i wybierz przycisk OK.

  6. Pozostaw pozostałe ustawienia domyślne i wybierz pozycję Przejrzyj i utwórz.

  7. Przejrzyj ustawienia i wybierz pozycję Utwórz.

Uwaga

Maszyny wirtualne w sieci wirtualnej z hostem bastionu nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w bastionie. Aby uzyskać więcej informacji, zobacz Odłączenie publicznego adresu IP od maszyny wirtualnej Azure.

Uwaga

Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.

Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:

  • Publiczny adres IP jest przypisywany do maszyny wirtualnej.
  • Maszyna wirtualna jest umieszczana w puli back-end standardowego modułu równoważenia obciążenia, z regułami ruchu wychodzącego lub bez nich.
  • Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.

Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.

Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.

Klucz dostępu do magazynu

Klucz dostępu do magazynu jest wymagany w kolejnych krokach. Przejdź do utworzonego wcześniej konta magazynu i skopiuj parametry połączenia przy użyciu klucza dostępu dla konta magazynu.

  1. W polu wyszukiwania w górnej części portalu wprowadź konto magazynowe. Wybierz pozycję Konta magazynowania w wynikach wyszukiwania.

  2. Wybierz konto magazynu utworzone w poprzednich krokach lub istniejące konto magazynu.

  3. W sekcji Zabezpieczenia + sieć konta magazynu wybierz Klucze dostępu.

  4. Wybierz pozycję Pokaż, a następnie wybierz kopię parametrów połączenia dla klucza key1.

Dodawanie kontenera obiektów blob

  1. W polu wyszukiwania w górnej części portalu wprowadź konto magazynowe. Wybierz pozycję Konta magazynowania w wynikach wyszukiwania.

  2. Wybierz konto magazynowe utworzone w poprzednich krokach.

  3. W sekcji Magazyn danych wybierz pozycję Kontenery.

  4. Wybierz pozycję + Kontener , aby utworzyć nowy kontener.

  5. Wprowadź kontener w polu Nazwa i wybierz pozycję Prywatny (bez dostępu anonimowego) w obszarze Poziom dostępu publicznego.

  6. Wybierz pozycję Utwórz.

Testowanie łączności z prywatnym punktem końcowym

W tej sekcji użyjesz maszyny wirtualnej, którą utworzyłeś w poprzednich krokach, aby nawiązać połączenie z kontem magazynu przez prywatny punkt końcowy przy użyciu Microsoft Azure Storage Explorer.

  1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.

  2. Wybierz pozycję vm-1.

  3. W obszarze Połącz wybierz pozycję Bastion.

  4. Wprowadź nazwę użytkownika i hasło wprowadzone podczas tworzenia maszyny wirtualnej.

  5. Wybierz pozycję Połącz.

  6. Otwórz program Windows PowerShell na serwerze po nawiązaniu połączenia.

  7. Wprowadź nslookup <storage-account-name>.blob.core.windows.net. Zastąp ciąg <storage-account-name> nazwą konta magazynu utworzonego w poprzednich krokach. W poniższym przykładzie przedstawiono dane wyjściowe polecenia .

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    storage1.privatelink.blob.core.windows.net
Address:  10.0.0.10
Aliases:  mystorageaccount.blob.core.windows.net

    Prywatny adres IP 10.0.0.10 jest zwracany dla nazwy konta pamięci masowej. Ten adres znajduje się w podsieci subnet-1 sieci wirtualnej vnet-1, którą utworzyłeś wcześniej.

  8. Zainstaluj Eksplorator usługi Microsoft Azure Storage na maszynie wirtualnej.

  9. Wybierz pozycję Zakończ po zainstalowaniu Eksplorator pamięci Microsoft Azure. Pozostaw zaznaczone pole, aby otworzyć aplikację.

  10. Wybierz symbol wtyczki zasilania, aby otworzyć okno dialogowe Wybierz Zasób w pasku narzędzi po lewej stronie.

  11. W Wybierz zasób, wybierz opcję Konto magazynu lub usługa, aby dodać połączenie w Eksploratorze usługi Microsoft Azure Storage do konta magazynu utworzonego w poprzednich krokach.

  12. Na ekranie Wybierz metodę połączenia wybierz pozycję Parametry połączenia, a następnie przycisk Dalej.

  13. W polu Ciąg połączenia wklej ciąg połączenia z konta przechowywania skopiowanego w poprzednich krokach. Nazwa konta magazynu zostanie automatycznie wypełniona w polu pod Nazwa wyświetlana.

  14. Wybierz Dalej.

  15. Sprawdź, czy ustawienia są poprawne w obszarze Podsumowanie.

  16. Wybierz pozycję Połącz

  17. Wybierz swoje konto magazynu z Kont Magazynowych w menu eksploratora.

  18. Rozwiń konto magazynu, a następnie Kontenery blobów.

  19. Zostanie wyświetlony utworzony wcześniej kontener .

  20. Zamknij połączenie z maszyną wirtualną VM-1.

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

  1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

  2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg.

  3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

  4. Wprowadź test-rg w Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz Usuń.

Następne kroki

W tym samouczku przedstawiono sposób tworzenia:

  • Sieć wirtualna i host bastionu.

  • Maszyna wirtualna.

  • Konto magazynu i kontener.

Dowiedz się, jak nawiązać połączenie z kontem usługi Azure Cosmos DB za pośrednictwem prywatnego punktu końcowego platformy Azure:

Nawiązywanie połączenia z usługą Azure Cosmos DB przy użyciu prywatnego punktu końcowego

  • Last updated on