Esercitazione: Esaminare il traffico degli endpoint privati con Firewall di Azure
Un endpoint privato di Azure è il blocco costitutivo fondamentale del collegamento privato di Azure. Gli endpoint privati consentono alle risorse di Azure distribuite in una rete virtuale di comunicare privatamente con le risorse di un collegamento privato.
Gli endpoint privati consentono alle risorse di accedere al servizio del collegamento privato distribuito in una rete virtuale. L'accesso all'endpoint privato tramite il peering di reti virtuali e le connessioni di reti locali estendono la connettività.
Potrebbe essere necessario controllare o bloccare il traffico proveniente dai client verso i servizi esposti tramite endpoint privati. Eseguire questo controllo usando Firewall di Azure o un'appliance virtuale di rete di terze parti.
Per altre informazioni e scenari che coinvolgono endpoint privati e Firewall di Azure, vedere Scenari Firewall di Azure per esaminare il traffico destinato a un endpoint privato.
In questa esercitazione apprenderai a:
- Creare una rete virtuale e un host bastion per la macchina virtuale di test.
- Creare la rete virtuale dell'endpoint privato.
- Creare una macchina virtuale di test.
- Distribuire Firewall di Azure.
- Creare un database SQL di Azure.
- Creare un endpoint privato per Azure SQL.
- Creare un peer di rete tra la rete virtuale dell'endpoint privato e la rete virtuale di test.
- Collegare le reti virtuali a una zona DNS privata.
- Configurare le regole dell'applicazione in Firewall di Azure per Azure SQL.
- Instradare il traffico tra la macchina virtuale di test e Azure SQL tramite Firewall di Azure.
- Testare la connessione ad Azure SQL e convalidare i log di Firewall di Azure.
Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
Prerequisiti
Un account Azure con una sottoscrizione attiva.
Un'area di lavoro Log Analytics. Per altre informazioni sulla creazione di un'area di lavoro Log Analytics, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.
Accedere al portale di Azure
Accedere al portale di Azure.
Creare una rete virtuale e un host Azure Bastion
La procedura seguente consente di creare una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:
Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare Crea nuovo.
Immettere test-rg per il nome.
Selezionare OK.Dettagli istanza Nome Immettere vnet-1. Paese Selezionare Stati Uniti orientali 2. 
Selezionare Avanti per passare alla scheda Sicurezza.
Nella sezione Azure Bastion, selezionare Abilita Azure Bastion.
Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite SSH (Secure Shell) o RDP (Remote Desktop Protocol) usando i relativi indirizzi IP privati. Le macchine virtuali non necessitano di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.
In Azure Bastion immettere o selezionare le informazioni seguenti:
Impostazione Valore Nome host Azure Bastion Immettere bastion. Indirizzo IP pubblico di Azure Bastion Selezionare Crea un indirizzo IP pubblico.
Immettere public-ip-bastion in Nome.
Selezionare OK.
Selezionare Avanti per passare alla scheda Indirizzi IP.
Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.
In Modifica subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Scopo della subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-1. IPv4 Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16. Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0. Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi). 
Seleziona Salva.
Selezionare Rivedi e crea nella parte inferiore della finestra. Al termine della convalida, selezionare Crea.
Creare una rete virtuale per un endpoint privato
La procedura seguente crea una rete virtuale con una subnet.
Nel portale cercare e selezionare Reti virtuali.
Nella pagina Reti virtuali selezionare + Crea.
Nella scheda Informazioni di base di Crea rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg Dettagli istanza Nome Immettere vnet-private-endpoint. Paese Selezionare Stati Uniti orientali 2. Selezionare Avanti per passare alla scheda Sicurezza.
Selezionare Avanti per passare alla scheda Indirizzi IP.
Selezionare Elimina spazio indirizzi con l'icona del cestino per rimuovere lo spazio indirizzi predefinito.
Selezionare Aggiungi spazio indirizzi IPv4.
Immettere 10.1.0.0 e lasciare la casella di riepilogo sull’impostazione predefinita /16 (65.536 indirizzi).
Selezionare + Aggiungi una subnet.
In Aggiungi una subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli subnet Modello di subnet Lasciare l'impostazione predefinita Predefinito. Nome Immettere subnet-private. Indirizzo iniziale Lasciare l'impostazione predefinita 10.1.0.0. Dimensioni della subnet Lasciare l'impostazione predefinita /24(256 indirizzi). Selezionare Aggiungi.
Selezionare Rivedi e crea in fondo allo schermo e, quando la convalida ha esito positivo, selezionare Crea.
Creare una macchina virtuale di test
La procedura seguente crea nella rete virtuale una macchina virtuale di test denominata vm-1.
Nel portale, cercare e selezionare Macchine virtuali.
In Macchine virtuali, selezionare + Crea, quindi Macchina virtuale di Azure.
Nella scheda Informazioni di base di Crea una macchina virtuale, immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Virtual machine name Immettere vm-1. Paese Selezionare Stati Uniti orientali 2. Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta. Tipo di sicurezza Lasciare l'impostazione predefinita Standard. Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2. Architettura della macchina virtuale Lasciare il valore predefinito x64. Dimensione Selezionare una dimensione. Account amministratore Tipo di autenticazione selezionare Password. Username digitare azureuser. Password Immettere una password. Conferma password Immettere nuovamente la password. Regole porta in ingresso Porte in ingresso pubbliche Selezionare Nessuno. Selezionare la scheda Rete, nella parte superiore della pagina.
Nella scheda Rete immettere o selezionare le informazioni seguenti:
Impostazione Valore Interfaccia di rete Rete virtuale Selezionare vnet-1. Subnet Selezionare subnet-1 (10.0.0.0/24). IP pubblico Selezionare Nessuno. Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate. Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
Immettere nsg-1 per il nome.
Lasciare invariate le impostazioni predefinite e selezionare OK.Lasciare invariate le impostazioni predefinite e selezionare Rivedi e crea.
Rivedere le impostazioni e selezionare Crea.
Nota
Le macchine virtuali in una rete virtuale con un host Bastion non necessitano di indirizzi IP pubblici. Bastion fornisce l'indirizzo IP pubblico e le macchine virtuali usano indirizzi IP privati per comunicare all'interno della rete. È possibile rimuovere gli indirizzi IP pubblici da qualsiasi macchina virtuale in reti virtuali ospitate da Bastion. Per altre informazioni, vedere Annullare l'associazione di un indirizzo IP pubblico da una macchina virtuale di Azure.
Nota
Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.
L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:
- Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
- La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
- Una risorsa del gateway NAT di Azure viene assegnata alla subnet della macchina virtuale.
Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.
Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.
Distribuire Firewall di Azure
Nella casella di ricerca nella parte superiore del portale immettere Firewall. Selezionare Firewall nei risultati della ricerca.
In Firewall selezionare + Crea.
Nella scheda Informazioni di base della pagina Crea un firewall immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Nome Immettere firewall. Paese Selezionare Stati Uniti orientali 2. Zona di disponibilità Selezionare Nessuno. SKU firewall Selezionare Standard. Gestione del firewall selezionare Usa un criterio firewall per gestire questo firewall. Criterio firewall Seleziona Aggiungi nuovo.
Immettere firewall-policy in Nome criterio.
In Area selezionare Stati Uniti orientali 2.
Selezionare OK.Scegliere una rete virtuale Selezionare Crea nuovo. Nome della rete virtuale Immettere vnet-firewall. Spazio indirizzi Immettere 10.2.0.0/16. Spazio indirizzi subnet Immettere 10.2.1.0/26. Indirizzo IP pubblico Seleziona Aggiungi nuovo.
Immettere public-ip-firewall in Nome.
Selezionare OK.Selezionare Rivedi e crea.
Seleziona Crea.
Attendere il completamento della distribuzione del firewall prima di continuare.
Abilitare i log del firewall
In questa sezione vengono abilitati i log del firewall e li si invia all'area di lavoro Log Analytics.
Nota
È necessario disporre di un'area di lavoro Log Analytics nella sottoscrizione prima di abilitare i log del firewall. Per altre informazioni, consulta Prerequisiti.
Nella casella di ricerca nella parte superiore del portale immettere Firewall. Selezionare Firewall nei risultati della ricerca.
Selezionare firewall.
In Monitoraggio selezionare Impostazioni di diagnostica.
Fare clic su + Aggiungi impostazione di diagnostica.
In Impostazione di diagnostica immettere o selezionare le informazioni seguenti:
Impostazione Valore Nome impostazioni di diagnostica Immettere diagnostic-setting-firewall. Registri Categorie Selezionare Regola applicazione firewall di Azure (Diagnostica di Azure legacy) e Regola rete firewall di Azure (Diagnostica di Azure legacy). Dettagli della destinazione Destinazione Selezionare Invia all'area di lavoro Log Analytics. Subscription Selezionare la propria sottoscrizione. area di lavoro Log Analytics Selezionare l'area di lavoro Log Analytics. Seleziona Salva.
Creare un database SQL di Azure
Nella casella di ricerca nella parte superiore del portale immettere SQL. Selezionare Database SQL nei risultati della ricerca.
In Database SQL, selezionare + Crea.
Nella scheda Informazioni di base della pagina Crea database SQL, immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli database Nome database Immettere sql-db. Server Selezionare Crea nuovo.
Immettere server-name in Nome server (i nomi dei server devono essere univoci, sostituire server-name con un valore univoco).
Selezionare (Stati Uniti) Stati Uniti orientali 2 in Area geografica.
Selezionare Usa autenticazione SQL.
Immettere l'accesso e la password dell'amministratore del server.
Selezionare OK.Usare il pool elastico SQL? Selezionare No. Ambiente del carico di lavoro Lasciare l'impostazione predefinita Produzione. Ridondanza dell'archivio di backup Ridondanza dell'archivio di backup Selezionare Archivio di backup con ridondanza locale. Selezionare Avanti: Rete.
Nella scheda Rete di Crea database SQL, immettere o selezionare le informazioni seguenti:
Impostazione Valore Connettività di rete Metodo di connettività Selezionare Endpoint privato. Endpoint privati Selezionare + Aggiungi endpoint privato. Creare un endpoint privato Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Ufficio Selezionare Stati Uniti orientali 2. Nome Immettere private-endpoint-sql. Sottorisorsa di destinazione Selezionare SqlServer. Networking Rete virtuale Selezionare vnet-private-endpoint. Subnet Selezionare subnet-private-endpoint. Integrazione DNS privato Integra con la zona DNS privato Selezionare Sì. Zona DNS privato Lasciare l'impostazione predefinita privatelink.database.windows.net. Seleziona OK.
Selezionare Rivedi e crea.
Seleziona Crea.
Connettere le reti virtuali con il peering reti virtuali
In questa sezione si connettono le reti virtuali con il peering di reti virtuali. Le reti vnet-1 e vnet-private-endpoint sono connesse a vnet-firewall. Non esiste connettività diretta tra vnet-1 ed endpoint vnet-private-endpoint.
Nella casella di ricerca nella parte superiore del portale immettere Reti virtuali. Selezionare Reti virtuali nei risultati della ricerca.
Selezionare vnet-firewall.
In Impostazioni selezionare Peering.
In Peering selezionare + Aggiungi.
In Aggiungi peering immettere o selezionare le informazioni seguenti:
Impostazione Valore Questa rete virtuale Nome del collegamento di peering Immettere vnet-firewall-to-vnet-1. Traffico verso la rete virtuale remota Selezionare Consenti (impostazione predefinita). Traffico inoltrato dalla rete virtuale remota Selezionare Consenti (impostazione predefinita). Gateway di rete virtuale o server di route Selezionare Nessuno (impostazione predefinita). Rete virtuale remota Nome del collegamento di peering Immettere vnet-1-to-vnet-firewall. Modello di distribuzione della rete virtuale Seleziona Gestione risorse. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-1. Traffico verso la rete virtuale remota Selezionare Consenti (impostazione predefinita). Traffico inoltrato dalla rete virtuale remota Selezionare Consenti (impostazione predefinita). Gateway di rete virtuale o server di route Selezionare Nessuno (impostazione predefinita). Selezionare Aggiungi.
In Peering selezionare + Aggiungi.
In Aggiungi peering immettere o selezionare le informazioni seguenti:
Impostazione Valore Questa rete virtuale Nome del collegamento di peering Immettere vnet-firewall-to-vnet-private-endpoint. Consentire a “vnet-1” di accedere a “vnet-private-endpoint” Lasciare selezionato come da impostazione predefinita. Consentire a “vnet-1” di ricevere traffico inoltrato da “vnet-private-endpoint” Selezionare la casella di controllo. Consentire al gateway in “vnet-1” di inoltrare il traffico a “vnet-private-endpoint” Lasciare l'impostazione predefinita deselezionata. Abilitare "vnet-1" per l'uso del gateway remoto "vnet-private-endpoint" Lasciare l'impostazione predefinita deselezionata. Rete virtuale remota Nome del collegamento di peering Immettere vnet-private-endpoint-to-vnet-firewall. Modello di distribuzione della rete virtuale Seleziona Gestione risorse. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-private-endpoint. Consentire a “vnet-private-endpoint” di accedere a “vnet-1” Lasciare selezionato come da impostazione predefinita. Consentire a “vnet-private-endpoint” di ricevere traffico inoltrato da “vnet-1” Selezionare la casella di controllo. Consentire al gateway in “vnet-private-endpoint” di inoltrare traffico a “vnet-1” Lasciare l'impostazione predefinita deselezionata. Abilitare "vnet-private-endpoint" per l'uso del gateway remoto "vnet-1" Lasciare l'impostazione predefinita deselezionata. Selezionare Aggiungi.
Verificare che lo stato peering sia connesso per entrambi i peer di rete.
Collegare le reti virtuali alla zona DNS privata
La zona DNS privata creata durante la creazione dell'endpoint privato nella sezione precedente deve essere collegata alle reti virtuali vnet-1 e vnet-firewall.
Nella casella di ricerca nella parte superiore del portale immettere Zona DNS privata. Selezionare Zone DNS private nei risultati della ricerca.
Selezionare privatelink.database.windows.net.
In Impostazioni selezionare Collegamenti rete virtuale.
Seleziona + Aggiungi.
In Aggiungi collegamento alla rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Collegamento di rete virtuale Nome del collegamento della rete virtuale Immettere link-to-vnet-1. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-1 (test-rg). Impostazione Lasciare deselezionata l'impostazione predefinita Abilita registrazione automatica. Seleziona OK.
Seleziona + Aggiungi.
In Aggiungi collegamento alla rete virtuale immettere o selezionare le informazioni seguenti:
Impostazione Valore Collegamento di rete virtuale Nome del collegamento della rete virtuale Immettere link-to-vnet-firewall. Subscription Selezionare la propria sottoscrizione. Rete virtuale Selezionare vnet-firewall (test-rg). Impostazione Lasciare deselezionata l'impostazione predefinita Abilita registrazione automatica. Seleziona OK.
Creare una route tra vnet-1 e vnet-private-endpoint
Non esiste un collegamento di rete tra vnet-1 e vnet-private-endpoint. È necessario creare una route per consentire il flusso del traffico tra le reti virtuali tramite Firewall di Azure.
La route invia il traffico da vnet-1 allo spazio indirizzi della rete virtuale vnet-private-endpoint, tramite Firewall di Azure.
Nella casella di ricerca nella parte superiore del portale immettere Tabelle di route. Selezionare Tabelle di route nei risultati della ricerca.
Seleziona + Crea.
Nella scheda Informazioni di base della pagina Crea tabelle di route immettere o selezionare le informazioni seguenti:
Impostazione Valore Dettagli di progetto Subscription Selezionare la propria sottoscrizione. Gruppo di risorse Selezionare test-rg. Dettagli istanza Paese Selezionare Stati Uniti orientali 2. Nome Immettere vnet-1-to-vnet-firewall. Propaga route del gateway Lasciare l'impostazione predefinita Sì. Selezionare Rivedi e crea.
Seleziona Crea.
Nella casella di ricerca nella parte superiore del portale immettere Tabelle di route. Selezionare Tabelle di route nei risultati della ricerca.
Selezionare vnet-1-to-vnet-firewall.
In Impostazioni selezionare Route.
Seleziona + Aggiungi.
In Aggiungi route immettere o selezionare le informazioni seguenti:
Impostazione Valore Nome route Immettere subnet-1-to-subnet-private-endpoint. Tipo destinazione Selezionare Indirizzi IP. Indirizzi IP/Intervalli CIDR di destinazione Immettere 10.1.0.0/16. Tipo hop successivo Selezionare Appliance virtuale. Indirizzo hop successivo Immettere 10.2.1.4. Selezionare Aggiungi.
In Impostazioni selezionare Subnet.
Selezionare + Associa.
In Associa subnet immettere o selezionare le informazioni seguenti:
Impostazione Valore Rete virtuale Selezionare vnet-1(test-rg). Subnet Selezionare subnet-1. Seleziona OK.
Configurare una regola di applicazione in Firewall di Azure
Creare una regola di applicazione per consentire la comunicazione da vnet-1 all'endpoint privato del server Azure SQL server-name.database.windows.net. Sostituire server-name con il nome del server Azure SQL.
Nella casella di ricerca nella parte superiore del portale immettere Firewall. Selezionare Criteri firewall nei risultati della ricerca.
In Criteri firewall selezionare firewall-policy.
In Impostazioni selezionare Regole applicazione.
Selezionare + Aggiungi una raccolta regole.
In Aggiungi una raccolta regole immettere o selezionare le informazioni seguenti:
Impostazione valore Nome Immettere rule-collection-sql. Tipo di raccolta regole Lasciare la selezione di Applicazione. Priorità Immettere 100. Azione della raccolta regole Seleziona Consenti. Gruppo di raccolta regole Lasciare l'impostazione predefinita DefaultApplicationRuleCollectionGroup. Regole Regola 1 Nome Immettere SQLPrivateEndpoint. Source type Selezionare Indirizzo IP. Origine Immettere 10.0.0.0/16 Protocollo Immettere mssql:1433 Tipo destinazione Selezionare FQDN. Destinazione Immettere server-name.database.windows.net. Selezionare Aggiungi.
Testare la connessione ad Azure SQL dalla macchina virtuale
Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.
Selezionare vm-1.
In Operazioni, selezionare Bastion.
Immettere il nome utente e la password della macchina virtuale.
Selezionare Connetti.
Per verificare la risoluzione dei nomi dell'endpoint privato, immettere il comando seguente nella finestra del terminale:
nslookup server-name.database.windows.netVerrà visualizzato un messaggio simile all'esempio seguente. L'indirizzo IP restituito è l'indirizzo IP privato dell'endpoint privato.
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4Installare gli strumenti da riga di comando di SQL Server indicati in Installare gli strumenti da riga di comando di SQL Server sqlcmd e bcp in Linux. Al termine dell'installazione, procedere con i passaggi successivi.
Usare i comandi seguenti per connettersi al server SQL creato nei passaggi precedenti.
Sostituire <server-admin> con il nome utente amministratore immesso durante la creazione del server SQL.
Sostituire <admin-password> con la password amministratore immessa durante la creazione del server SQL.
Sostituire server-name con il nome del server SQL.
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'Al completamento dell'accesso viene visualizzato un prompt dei comandi SQL. Immettere exit per uscire dallo strumento sqlcmd.
Convalidare il traffico nei log di Firewall di Azure
Nella casella di ricerca nella parte superiore del portale immettere Log Analytics. Selezionare Log Analytics nei risultati della ricerca.
Selezionare l'area di lavoro Log Analytics. In questo esempio l'area di lavoro è denominata log-analytics-workspace.
Nelle Impostazioni generali selezionare Log.
Nella casella di ricerca di esempio Query immettere Regola applicazione. Nei risultati restituiti in Rete selezionare il pulsante Esegui in Dati log delle regole dell'applicazione.
Nell'output della query di log verificare che server-name.database.windows.net sia elencato in FQDN e che SQLPrivateEndpoint sia elencato in Regola.
Quando le risorse create non sono più necessarie, è possibile eliminare il gruppo di risorse e tutte le risorse al suo interno.
Accedere al portale di Azure e selezionare Gruppi di risorse.
Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.
Nella pagina test-rg selezionare Elimina gruppo di risorse.
Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.
Passaggi successivi
Passare all'articolo successivo per ottenere informazioni su come usare un endpoint privato con il Resolver privato di Azure: