Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Rozpocznij pracę z obwodem zabezpieczeń sieci, tworząc obwód zabezpieczeń sieci dla usługi Azure Key Vault przy użyciu interfejsu wiersza polecenia platformy Azure. Obwód zabezpieczeń sieci umożliwia zasobom usługi Azure PaaS (PaaS) komunikowanie się w ramach jawnej zaufanej granicy. Następnie należy utworzyć i zaktualizować skojarzenie zasobów PaaS w profilu obwodowym zabezpieczeń sieci. Następnie utworzysz i zaktualizujesz reguły dostępu obwodowego zabezpieczeń sieci. Po zakończeniu usuń wszystkie zasoby utworzone w tym szybkim starcie.
Ważne
Obwód zabezpieczeń sieci jest teraz ogólnie dostępny we wszystkich regionach chmury publicznej platformy Azure. Aby uzyskać informacje na temat obsługiwanych usług, zobacz Dołączane zasoby łącza prywatnego dla obsługiwanych usług PaaS.
Wymagania wstępne
- Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
- Najnowszy interfejs wiersza polecenia platformy Azure lub możesz użyć usługi Azure Cloud Shell w portalu.
- Ten artykuł wymaga wersji 2.38.0 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
- Po uaktualnieniu do najnowszej wersji Azure CLI zaimportuj polecenia dotyczące perymetru zabezpieczeń sieci przy użyciu
az extension add --name nsp.
Nawiązywanie połączenia z kontem platformy Azure i wybieranie subskrypcji
Aby rozpocząć, połącz się z usługą Azure Cloud Shell lub użyj lokalnego środowiska interfejsu wiersza polecenia.
W przypadku korzystania z usługi Azure Cloud Shell zaloguj się i wybierz swoją subskrypcję.
Jeśli zainstalowałeś lokalnie CLI (interfejs wiersza polecenia), zaloguj się, używając następującego polecenia:
# Sign in to your Azure account az loginPo przejściu do powłoki wybierz aktywną subskrypcję lokalnie za pomocą następującego polecenia:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
Utwórz grupę zasobów i skarbiec kluczy
Przed utworzeniem perymetru zabezpieczeń sieci należy utworzyć grupę zasobów i zasób magazynu kluczy za pomocą polecenia az group create i az keyvault create.
W tym przykładzie utworzono grupę zasobów o nazwie resource-group w lokalizacji WestCentralUS oraz magazyn kluczy o nazwie key-vault-YYYYDDMM w grupie zasobów za pomocą następujących poleceń:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
Tworzenie obwodu zabezpieczeń sieci
W tym kroku utwórz obwód zabezpieczeń sieci za pomocą polecenia az network perimeter create .
Uwaga
Nie należy umieszczać żadnych danych osobowych lub poufnych w regułach obwodu zabezpieczeń sieci ani w innej konfiguracji obwodowej zabezpieczeń sieci.
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
Tworzenie i aktualizowanie skojarzenia zasobów PaaS z nowym profilem
W tym kroku utworzysz nowy profil i skojarzysz zasób PaaS, usługę Azure Key Vault, z profilem przy użyciu poleceń az network perimeter profile create i az network perimeter association create.
Uwaga
Dla wartości parametrów --private-link-resource i --profile zamień <PaaSArmId> i <networkSecurityPerimeterProfileId> na wartości odpowiednio dla magazynu kluczy i identyfikatora profilu.
Utwórz nowy profil dla obwodu zabezpieczeń sieci za pomocą następującego polecenia:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeterSkojarz usługę Azure Key Vault (zasób PaaS) z profilem obwodowym zabezpieczeń sieci za pomocą następujących poleceń.
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"Zaktualizuj skojarzenie, zmieniając tryb dostępu na wymuszony za pomocą polecenia az network perimeter association create w następujący sposób:
az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
Zarządzanie regułami dostępu do perymetru bezpieczeństwa sieci
W tym kroku utworzysz, zaktualizujesz i usuniesz reguły dostępu obwodowego zabezpieczeń sieci z prefiksami publicznych adresów IP za pomocą polecenia az network perimeter profile access-rule create .
Utwórz regułę dostępu przychodzącego z prefiksem publicznego adresu IP dla profilu utworzonego za pomocą następującego polecenia:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"Zaktualizuj regułę dostępu przychodzącego przy użyciu innego prefiksu publicznego adresu IP za pomocą następującego polecenia:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"Jeśli musisz usunąć regułę dostępu, użyj polecenia az network perimeter profile access-rule delete.
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
Uwaga
Jeśli tożsamość zarządzana nie jest przypisana do zasobu, który go obsługuje, dostęp wychodzący do innych zasobów w obrębie tego samego obwodu zostanie odrzucony. Reguły ruchu przychodzącego oparte na subskrypcji przeznaczone do zezwalania na dostęp z tego zasobu nie zostaną zastosowane.
Usuwanie wszystkich zasobów
Aby usunąć perymetr zabezpieczeń sieciowych i inne zasoby w tym przewodniku 'Szybki start', użyj następujących poleceń az network perimeter:
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
Uwaga
Usunięcie skojarzenia zasobu z perymetrem bezpieczeństwa sieciowego powoduje, że kontrola dostępu powraca do istniejącej konfiguracji zapory sieciowej zasobu. Może to spowodować zezwolenie/odmowę dostępu zgodnie z konfiguracją zapory zasobów. Jeśli parametr PublicNetworkAccess jest ustawiony na Wartość SecuredByPerimeter i skojarzenie zostało usunięte, zasób przejdzie w stan zablokowany. Aby uzyskać więcej informacji, zobacz Przejście do obwodu zabezpieczeń sieci na platformie Azure.