Vytvoření virtuální sítě s šifrováním

Šifrování virtuální sítě Azure je funkce služby Azure Virtual Network. Díky šifrování virtuální sítě můžete bezproblémově šifrovat a dešifrovat interní síťový provoz přes drát s minimálním účinkem na výkon a škálování. Šifrování virtuální sítě chrání data, která procházejí vaší virtuální sítí z virtuálního počítače na virtuální počítač.

Požadavky

Azure Portal

Účet Azure s aktivním předplatným. Vytvořte si ho zdarma.

PowerShell

• Mít účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Nainstalujte Azure PowerShell místně nebo použijte Azure Cloud Shell.

• Přihlaste se k Azure PowerShellu a vyberte předplatné, se kterým chcete tuto funkci použít. Další informace najdete v tématu Přihlášení pomocí Azure PowerShellu.

• Ujistěte se, že je modul Az.Network 4.3.0 nebo novější. K ověření nainstalovaného modulu použijte příkaz Get-InstalledModule -Name Az.Network. Pokud modul vyžaduje aktualizaci, použijte v případě potřeby příkaz Update-Module -Name Az.Network.

Pokud se rozhodnete nainstalovat a používat PowerShell místně, musíte použít modul Azure PowerShell verze 5.4.1 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Pokud používáte PowerShell místně, musíte také spustit Connect-AzAccount , abyste vytvořili připojení k Azure.

Rozhraní příkazového řádku

• Účet Azure s aktivním předplatným. Vytvořte si ho zdarma.

• Použijte prostředí Bash v Azure Cloud Shellu. Další informace najdete v tématu Rychlý start pro Bash v Azure Cloud Shellu.

  

• Pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI. Pokud používáte Windows nebo macOS, zvažte spuštění Azure CLI v kontejneru Docker. Další informace najdete v tématu Jak spustit Azure CLI v kontejneru Dockeru.

  • Pokud používáte místní instalaci, přihlaste se k Azure CLI pomocí příkazu az login. Pokud chcete dokončit proces ověřování, postupujte podle kroků zobrazených na terminálu. Další možnosti přihlášení najdete v tématu Přihlášení pomocí Azure CLI.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Další informace o rozšířeních najdete v tématu Využití rozšíření v Azure CLI.

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

• Tento článek vyžaduje verzi 2.31.0 nebo novější azure CLI. Pokud používáte Azure Cloud Shell, je už nainstalovaná nejnovější verze.

Vytvoření virtuální sítě

Azure Portal

Následující postup vytvoří virtuální síť s podsítí prostředků.

1. Na portálu vyhledejte a vyberte Virtuální sítě.

2. Na stránce Virtuální sítě vyberte + Vytvořit.

3. Na kartě Základy vytvoření virtuální sítě zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti projektu
   Předplatné	Vyberte své předplatné.
   Skupina prostředků	Vyberte, že chcete vytvořit novou IP adresu. Do pole Název zadejte test-rg. Vyberte OK.
   Podrobnosti o instanci
   Název	Zadejte vnet-1.
   Oblast	Vyberte USA – východ 2.

   

4. Výběrem možnosti Další přejděte na kartu Zabezpečení .

5. Výběrem možnosti Další přejděte na kartu IP adresy.

6. V poli Adresní prostor v podsítích vyberte výchozí podsíť.

7. V podokně Upravit podsíť zadejte nebo vyberte následující informace:

   Nastavení	Hodnota
   Podrobnosti o podsíti
   Šablona podsítě	Ponechte výchozí hodnotu výchozí.
   Název	Zadejte podsíť-1.
   Počáteční adresa	Ponechte výchozí hodnotu 10.0.0.0.
   Velikost podsítě	Ponechte výchozí hodnotu /24(256 adres).

   

8. Zvolte Uložit.

9. V dolní části obrazovky vyberte Zkontrolovat a vytvořit . Po úspěšném ověření vyberte Vytvořit.

PowerShell

Vytvořte skupinu prostředků s názvem New-AzResourceGroup test-rg v eastus2 umístění.

$rg =@{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

K vytvoření virtuální sítě použijte Rutinu New-AzVirtualNetwork a New-AzVirtualNetworkSubnetConfig .

## Create backend subnet config ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig
    EnableEncryption = 'true'
    EncryptionEnforcementPolicy = 'AllowUnencrypted'
}
New-AzVirtualNetwork @net

Rozhraní příkazového řádku

Vytvořte skupinu prostředků pomocí příkazu az group create pojmenované test-rg eastus2 v umístění.

  az group create \
    --name test-rg \
    --location eastus2

K vytvoření virtuální sítě použijte příkaz az network vnet create .

  az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24 

Důležité

K šifrování provozu vyžaduje šifrování virtuální sítě podporované verze virtuálních počítačů ve virtuální síti. Nastavení dropUnencrypted zahodí provoz mezi nepodporovanými verzemi virtuálních počítačů, pokud jsou nasazené ve virtuální síti. Další informace najdete v tématu Požadavky na šifrování virtuální sítě Azure.

Povolení šifrování ve virtuální síti

Azure Portal

K povolení šifrování pro virtuální síť použijte následující postup.

1. Do vyhledávacího pole v horní části portálu začněte zadávat virtuální sítě. Když se ve výsledcích hledání zobrazí virtuální sítě , vyberte ji.

2. Výběrem vnet-1 otevřete podokno vnet-1 .

3. V nabídce služby vyberte Přehled a pak vyberte kartu Vlastnosti .

4. V části Šifrování vyberte Zakázáno.

   

5. Zaškrtněte políčko vedle šifrování virtuální sítě.

6. Zvolte Uložit.

PowerShell

Šifrování ve stávající virtuální síti můžete povolit také pomocí rutiny Set-AzVirtualNetwork. Tento krok není nutný, pokud jste vytvořili virtuální síť s povoleným šifrováním v předchozích krocích.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

## Enable encryption on the virtual network ##
$vnet.Encryption = @{
    Enabled = 'true'
    Enforcement = 'allowUnencrypted'
}
$vnet | Set-AzVirtualNetwork

Rozhraní příkazového řádku

Šifrování ve stávající virtuální síti můžete povolit také pomocí příkazu az network vnet update. Tento krok není nutný, pokud jste vytvořili virtuální síť s povoleným šifrováním v předchozích krocích.

  az network vnet update \
    --resource-group test-rg \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted

Ověřte, že je povolené šifrování.

Azure Portal

1. Do vyhledávacího pole v horní části portálu začněte zadávat virtuální sítě. Když se ve výsledcích hledání zobrazí virtuální sítě , vyberte ji.

2. Výběrem vnet-1 otevřete podokno vnet-1 .

3. V nabídce služby vyberte Přehled a pak vyberte kartu Vlastnosti .

4. Ověřte, že je šifrování nastavené na Povoleno.

   

PowerShell

Pomocí rutiny Get-AzVirtualNetwork zobrazte parametr šifrování pro virtuální síť, kterou jste vytvořili dříve.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

Pokud chcete zobrazit parametr pro šifrování, zadejte následující informace:

$vnet.Encryption

Enabled Enforcement
------- -----------
True   allowUnencrypted

Rozhraní příkazového řádku

Pomocí příkazu az network vnet show zobrazte parametr šifrování pro virtuální síť, kterou jste vytvořili dříve.

  az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv

user@Azure:~$ az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv
True   AllowUnencrypted

Vyčištění prostředků

Azure Portal

Po dokončení používání vytvořených prostředků můžete odstranit skupinu prostředků a všechny její prostředky.

1. Na webu Azure Portal vyhledejte a vyberte skupiny prostředků.

2. Na stránce Skupiny prostředků vyberte skupinu prostředků test-rg.

3. Na stránce test-rg vyberte Odstranit skupinu prostředků.

4. Zadáním příkazu test-rg do pole Zadejte název skupiny prostředků potvrďte odstranění a pak vyberte Odstranit.

PowerShell

Pokud už tuto skupinu prostředků nepotřebujete, odeberte skupinu prostředků a všechny prostředky, které obsahuje, pomocí rutiny Remove-AzResourceGroup .

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

Rozhraní příkazového řádku

Až skončíte s virtuální sítí, pomocí příkazu az group delete odeberte skupinu prostředků a všechny její prostředky.

az group delete \
    --name test-rg \
    --yes

Související obsah

• Další informace o virtuální síti najdete v tématu Co je Azure Virtual Network?
• Další informace o šifrování virtuální sítě najdete v tématu Co je šifrování virtuální sítě Azure?.