Szybki start: tworzenie obwodu zabezpieczeń sieci — Azure Portal

Rozpocznij pracę z obwodem zabezpieczeń sieci, tworząc obwód zabezpieczeń sieci dla magazynu kluczy platformy Azure przy użyciu witryny Azure Portal. Obwód zabezpieczeń sieci umożliwia zasobom usługi Azure PaaS (PaaS) komunikowanie się w ramach jawnej zaufanej granicy. Następnie należy utworzyć i zaktualizować skojarzenie zasobów PaaS w profilu obwodowym zabezpieczeń sieci. Następnie utworzysz i zaktualizujesz reguły dostępu obwodowego zabezpieczeń sieci. Po zakończeniu usuniesz wszystkie zasoby utworzone w tym przewodniku Szybki start.

Ważne

Obwód zabezpieczeń sieci jest w publicznej wersji zapoznawczej i dostępny we wszystkich regionach chmury publicznej platformy Azure. Ta wersja zapoznawcza nie jest objęta umową dotyczącą poziomu usług i nie zalecamy korzystania z niej w przypadku obciążeń produkcyjnych. Niektóre funkcje mogą być nieobsługiwane lub ograniczone. Aby uzyskać więcej informacji, zobacz Uzupełniające warunki korzystania z wersji zapoznawczych platformy Microsoft Azure.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz następujące elementy:

• Konto platformy Azure z aktywną subskrypcją i dostępem do witryny Azure Portal. Jeśli nie masz jeszcze konta platformy Azure, utwórz bezpłatne konto.

• Wymagana jest rejestracja w publicznej wersji zapoznawczej obwodu zabezpieczeń sieci platformy Azure. Aby się zarejestrować, dodaj flagę AllowNSPInPublicPreview funkcji do subskrypcji.

  Aby uzyskać więcej informacji na temat dodawania flag funkcji, zobacz Konfigurowanie funkcji w wersji zapoznawczej w subskrypcji platformy Azure.

• Po dodaniu flagi funkcji należy ponownie zarejestrować dostawcę Microsoft.Network zasobów w ramach subskrypcji.

  • Aby ponownie zarejestrować dostawcę Microsoft.Network zasobów w witrynie Azure Portal, wybierz subskrypcję, a następnie wybierz pozycję Dostawcy zasobów. Microsoft.Network Wyszukaj i wybierz pozycję Zarejestruj ponownie.

    

  • Aby ponownie zarejestrować dostawcę Microsoft.Network zasobów, użyj następującego polecenia programu Azure PowerShell:

  # Register the Microsoft.Network resource provider
  Register-AzResourceProvider -ProviderNamespace Microsoft.Network
  

  • Aby ponownie zarejestrować dostawcę zasobów, użyj następującego polecenia interfejsu Microsoft.Network wiersza polecenia platformy Azure:

    # Register the Microsoft.Network resource provider
    az provider register --namespace Microsoft.Network
    

  Aby uzyskać więcej informacji na temat ponownego rejestrowania dostawców zasobów, zobacz Dostawcy zasobów i typy platformy Azure.

Zaloguj się do witryny Azure Portal.

Zaloguj się w witrynie Azure Portal przy użyciu danych konta Azure.

Tworzenie grupy zasobów i magazynu kluczy

Przed utworzeniem obwodu zabezpieczeń sieci należy utworzyć grupę zasobów do przechowywania wszystkich zasobów i magazynu kluczy chronionego przez obwód zabezpieczeń sieci.

Uwaga

Usługa Azure Key Vault wymaga unikatowej nazwy. Jeśli zostanie wyświetlony błąd, że nazwa jest już używana, spróbuj użyć innej nazwy. W naszym przykładzie używamy unikatowej nazwy, dołączając wartość Year (RRRR), Month (MM) i Day (DD) do nazwy — key-vault-RRRRDDMM.

1. W polu wyszukiwania w górnej części portalu wprowadź ciąg Magazyny kluczy. Wybierz pozycję Magazyny kluczy w wynikach wyszukiwania.

2. W wyświetlonym oknie Konta magazynów kluczy wybierz pozycję + Utwórz.

3. W oknie Tworzenie magazynu kluczy wprowadź następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję, której chcesz użyć dla tego magazynu kluczy.
   Grupa zasobów	Wybierz pozycję Utwórz nową, a następnie wprowadź nazwę grupy zasobów.
   Nazwa magazynu kluczy	Wprowadź key-vault-<RandomNameInformation>.
   Region (Region)	Wybierz region, w którym chcesz utworzyć magazyn kluczy. W tym przewodniku Szybki start (USA) jest używane zachodnie środkowe stany USA .

4. Pozostaw pozostałe ustawienia domyślne, a następnie wybierz pozycję Przejrzyj i utwórz>.

Tworzenie obwodu zabezpieczeń sieci

Po utworzeniu magazynu kluczy możesz przejść do utworzenia obwodu zabezpieczeń sieci.

Uwaga

W przypadku bezpieczeństwa organizacyjnego i informacyjnego zaleca się, aby nie uwzględniać żadnych danych osobowych lub poufnych w regułach obwodu zabezpieczeń sieci lub innej konfiguracji obwodowej zabezpieczeń sieci.

1. W polu wyszukiwania witryny Azure Portal wprowadź obwody zabezpieczeń sieci. Wybierz obwody zabezpieczeń sieci z wyników wyszukiwania.

2. W oknie Obwody zabezpieczeń sieci wybierz pozycję + Utwórz.

3. W oknie Tworzenie obwodu zabezpieczeń sieci wprowadź następujące informacje:

   Ustawienie	Wartość
   Subskrypcja	Wybierz subskrypcję, której chcesz użyć dla tego obwodu zabezpieczeń sieci.
   Grupa zasobów	Wybierz pozycję grupa zasobów.
   Nazwisko	Wprowadź wartość network-security-perimeter.
   Region (Region)	Wybierz region, w którym ma zostać utworzony obwód zabezpieczeń sieci. W tym przewodniku Szybki start (USA) jest używane zachodnie środkowe stany USA .
   Nazwa profilu	Wprowadź wartość profile-1.

4. Wybierz kartę Zasoby lub Dalej , aby przejść do następnego kroku.

5. Na karcie Zasoby wybierz pozycję + Dodaj.

6. W oknie Wybieranie zasobów zaznacz pozycję key-vault-RRRRRRDMM i wybierz pozycję Wybierz.

7. Wybierz pozycję Reguły dostępu dla ruchu przychodzącego i wybierz pozycję + Dodaj.

8. W oknie Dodawanie reguły dostępu przychodzącego wprowadź następujące informacje i wybierz pozycję Dodaj:

   Ustawienia	Wartość
   Nazwa reguły	Wprowadź regułę ruchu przychodzącego.
   Source type	Wybierz pozycję Zakresy adresów IP.
   Dozwolone źródła	Wprowadź zakres publicznych adresów IP, z którego chcesz zezwolić na ruch przychodzący.

9. Wybierz pozycję Reguły dostępu dla ruchu wychodzącego i wybierz pozycję + Dodaj.

10. W oknie Dodawanie reguły dostępu wychodzącego wprowadź następujące informacje i wybierz pozycję Dodaj:

    Ustawienia	Wartość
    Nazwa reguły	Wprowadź regułę ruchu wychodzącego.
    Typ docelowy	Wybierz pozycję FQDN.
    Dozwolone miejsca docelowe	Wprowadź nazwę FQDN miejsc docelowych, na które chcesz zezwolić. Na przykład www.contoso.com.

11. Wybierz pozycję Przejrzyj i utwórz , a następnie pozycję Utwórz.

12. Wybierz pozycję Przejdź do zasobu , aby wyświetlić nowo utworzony obwód zabezpieczeń sieci.

Uwaga

Jeśli tożsamość zarządzana nie jest przypisana do zasobu, który go obsługuje, dostęp wychodzący do innych zasobów w obrębie tego samego obwodu zostanie odrzucony. Reguły ruchu przychodzącego oparte na subskrypcji przeznaczone do zezwalania na dostęp z tego zasobu nie zostaną zastosowane.

Usuwanie obwodu zabezpieczeń sieci

Jeśli nie potrzebujesz już obwodu zabezpieczeń sieci, usuń wszystkie zasoby skojarzone z obwodem zabezpieczeń sieci, a następnie usuń obwód, wykonując następujące czynności:

1. W obwodzie zabezpieczeń sieci wybierz pozycję Skojarzone zasoby w obszarze Ustawienia.
2. Wybierz pozycję key-vault-RRRRRRDMM z listy skojarzonych zasobów.
3. Na pasku akcji wybierz pozycję **Ustawienia **, a następnie wybierz pozycję Usuń w oknie potwierdzenia.
4. Wróć do strony Przegląd obwodu zabezpieczeń sieci.
5. Wybierz pozycję Usuń i potwierdź usunięcie, wprowadzając wartość network-security-obwodową w polu tekstowym nazwy zasobu.
6. Przejdź do grupy zasobów i wybierz pozycję Usuń , aby usunąć grupę zasobów i wszystkie zasoby w niej.

Uwaga

Usunięcie skojarzenia zasobu z obwodu zabezpieczeń sieci powoduje powrót kontroli dostępu do istniejącej konfiguracji zapory zasobów. Może to spowodować zezwolenie/odmowę dostępu zgodnie z konfiguracją zapory zasobów. Jeśli parametr PublicNetworkAccess jest ustawiony na Wartość SecuredByPerimeter i skojarzenie zostało usunięte, zasób przejdzie w stan zablokowany. Aby uzyskać więcej informacji, zobacz Przejście do obwodu zabezpieczeń sieci na platformie Azure.

Następne kroki

Rejestrowanie diagnostyczne dla obwodu zabezpieczeń sieci platformy Azure