Een toepassingsbeveiligingsgroep configureren met een privé-eindpunt

Privé-eindpunten van Azure Private Link ondersteunen toepassingsbeveiligingsgroepen (ASG's) voor netwerkbeveiliging. U kunt privé-eindpunten koppelen aan een bestaande ASG in uw huidige infrastructuur, naast virtuele machines en andere netwerkbronnen.

Vereisten

• Een Azure-account met een actief abonnement. Als u nog geen Azure-account hebt, maakt u gratis een account.

• Een Azure-web-app met een Premium V2-laag of een hoger App Service-plan dat is geïmplementeerd in uw Azure-abonnement.

  • Zie quickstart: Een ASP.NET Core-web-app maken in Azure voor meer informatie en een voorbeeld.
  • De voorbeeldweb-app in dit artikel heet myWebApp1979. Vervang het voorbeeld door de naam van uw web-app.

• Een bestaande ASG in uw abonnement. Zie Toepassingsbeveiligingsgroepen voor meer informatie over ASG's.

  • Het voorbeeld van ASG dat in dit artikel wordt gebruikt, heeft de naam myASG. Vervang het voorbeeld door uw toepassingsbeveiligingsgroep.

• Een bestaand virtueel Azure-netwerk en -subnet in uw abonnement. Zie quickstart: Een virtueel netwerk maken met behulp van Azure Portal voor meer informatie over het maken van een virtueel netwerk.

  • Het voorbeeld van het virtuele netwerk dat in dit artikel wordt gebruikt, heet myVNet. Vervang het voorbeeld door uw virtuele netwerk.

• De nieuwste versie van de Azure CLI, geïnstalleerd.

  • Controleer uw Azure CLI-versie in een terminal- of opdrachtvenster door az --version uit te voeren. Zie de meest recente releaseopmerkingen voor de nieuwste versie.
  • Als u niet over de nieuwste versie van de Azure CLI beschikt, werkt u deze bij door de installatiehandleiding voor uw besturingssysteem of platform te volgen.

Als u PowerShell lokaal wilt installeren en gebruiken, is voor dit artikel versie 5.4.1 of hoger van de Azure PowerShell-module vereist. Voer Get-Module -ListAvailable Az uit om te zien welke versie is geïnstalleerd. Zie De Azure PowerShell-module installeren als u een upgrade wilt uitvoeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

Een privé-eindpunt maken met een ASG

U kunt een ASG koppelen aan een privé-eindpunt wanneer het wordt gemaakt. In de volgende procedures ziet u hoe u een ASG koppelt aan een privé-eindpunt wanneer deze wordt gemaakt.

Portal

1. Meld u aan bij het Azure-portaal.

2. Voer in het zoekvak boven aan de portal privé-eindpunt in. Selecteer Privé-eindpunten in de zoekresultaten.

3. Selecteer + Maken in privé-eindpunten.

4. Voer op het tabblad Basisbeginselen van Een privé-eindpunt maken de volgende gegevens in of selecteer deze:

   Weergegeven als	Instelling
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer uw resourcegroep. In dit voorbeeld is het myResourceGroup.
   Exemplaardetails
   Naam	Voer myPrivateEndpoint in.
   Regio	Selecteer VS - oost.

5. Selecteer Volgende: Resource onderaan de pagina.

6. Voer op het tabblad Resource de volgende gegevens in of selecteer deze:

   Weergegeven als	Instelling
   Verbindingsmethode	Selecteer Verbinding maken met een Azure-resource in mijn directory.
   Abonnement	Selecteer uw abonnement.
   Brontype	Selecteer Microsoft.Web/sites.
   Bron	Selecteer mywebapp1979.
   Subresource van doel	Selecteer sites.

7. Selecteer Volgende: Virtual Network onderaan de pagina.

8. Voer op het tabblad Virtueel netwerk de volgende gegevens in of selecteer deze:

   Weergegeven als	Instelling
   Netwerken
   Virtueel netwerk	Selecteer myVNet.
   Subnet	Selecteer uw subnet. In dit voorbeeld is het myVNet/myBackendSubnet(10.0.0.0/24).
   Schakel netwerkbeleid in voor alle privé-eindpunten in dit subnet.	Laat de standaardwaarde geselecteerd.
   Toepassingsbeveiligingsgroep
   Toepassingsbeveiligingsgroep	Selecteer myASG.

9. Selecteer Volgende: DNS onderaan de pagina.

10. Selecteer Volgende: Labels onder aan de pagina.

11. Selecteer Volgende: Beoordelen en maken.

12. Selecteer Maken.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Een ASG koppelen aan een bestaand privé-eindpunt

U kunt een ASG koppelen aan een bestaand privé-eindpunt. De volgende procedures laten zien hoe u een ASG koppelt aan een bestaand privé-eindpunt.

Belangrijk

U moet een eerder geïmplementeerd privé-eindpunt hebben om door te gaan met de stappen in deze sectie. Het voorbeeldeindpunt dat in deze sectie wordt gebruikt, heet myPrivateEndpoint. Vervang het voorbeeld door uw privé-eindpunt.

Portal

1. Meld u aan bij het Azure-portaal.

2. Voer in het zoekvak boven aan de portal privé-eindpunt in. Selecteer Privé-eindpunten in de zoekresultaten.

3. Selecteer myPrivateEndpoint in Privé-eindpunten.

4. Selecteer in myPrivateEndpoint in Instellingen de optie Toepassingsbeveiligingsgroepen.

5. Selecteer in toepassingsbeveiligingsgroepen myASG in de vervolgkeuzelijst.

6. Selecteer Opslaan.

PowerShell

Het koppelen van een ASG aan een bestaand privé-eindpunt met Azure PowerShell wordt momenteel niet ondersteund.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Volgende stappen

Zie voor meer informatie over Azure Private Link:

• Wat is Azure Private Link?