Tworzenie sieci wirtualnej z szyfrowaniem

Szyfrowanie usługi Azure Virtual Network to funkcja usługi Azure Virtual Network. Dzięki szyfrowaniu sieci wirtualnej można bezproblemowo szyfrować i odszyfrowywać wewnętrzny ruch sieciowy za pośrednictwem przewodu, przy minimalnym wpływie na wydajność i skalowanie. Szyfrowanie sieci wirtualnej chroni dane przechodzące przez sieć wirtualną z maszyny wirtualnej do maszyny wirtualnej.

Wymagania wstępne

Portal

Konto platformy Azure z aktywną subskrypcją. Utwórz je bezpłatnie.

Program PowerShell

• Posiadanie konta platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.

• Zainstaluj program Azure PowerShell lokalnie lub użyj usługi Azure Cloud Shell.

• Zaloguj się do programu Azure PowerShell i wybierz subskrypcję, za pomocą której chcesz użyć tej funkcji. Aby uzyskać więcej informacji, zobacz Logowanie się przy użyciu programu Azure PowerShell.

• Upewnij się, że moduł Az.Network ma wartość 4.3.0 lub nowszą. Aby sprawdzić zainstalowany moduł, użyj polecenia Get-InstalledModule -Name Az.Network. Jeśli moduł wymaga aktualizacji, użyj polecenia Update-Module -Name Az.Network, jeśli to konieczne.

Jeśli postanowisz zainstalować program PowerShell i używać go lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 5.4.1 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.

Interfejs wiersza polecenia

• Konto platformy Azure z aktywną subskrypcją. Utwórz je bezpłatnie.

• Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Szybki start dotyczący powłoki Bash w usłudze Azure Cloud Shell.

  

• Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.

  • Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.

  • Po wyświetleniu monitu zainstaluj rozszerzenie interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Korzystanie z rozszerzeń w interfejsie wiersza polecenia platformy Azure.

  • Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.

• Ten artykuł wymaga wersji 2.31.0 lub nowszej interfejsu wiersza polecenia platformy Azure. Jeśli używasz usługi Azure Cloud Shell, najnowsza wersja jest już zainstalowana.

Tworzenie sieci wirtualnej

Portal

Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów.

1. W portalu wyszukaj i wybierz pozycję Sieci wirtualne.

2. Na stronie Sieci wirtualne wybierz pozycję + Utwórz.

3. Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły projektu
   Subskrypcja	Wybierz subskrypcję.
   Grupa zasobów	Wybierz pozycjęUtwórz nowy. Wprowadź ciąg test-rg w polu Nazwa. Wybierz przycisk OK.
   Szczegóły wystąpienia
   Nazwisko	Wprowadź wartość vnet-1.
   Region (Region)	Wybierz pozycję East US 2 (Wschodnie stany USA 2).

   

4. Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .

5. Wybierz przycisk Dalej , aby przejść do karty Adresy IP.

6. W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.

7. W okienku Edytowanie podsieci wprowadź lub wybierz następujące informacje:

   Ustawienie	Wartość
   Szczegóły podsieci
   Szablon podsieci	Pozostaw wartość domyślną jako Domyślna.
   Nazwisko	Wprowadź podsieć-1.
   Adres początkowy	Pozostaw wartość domyślną 10.0.0.0.
   Rozmiar podsieci	Pozostaw wartość domyślną /24(256 adresów).

   

8. Wybierz pozycję Zapisz.

9. Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu. Po zakończeniu walidacji wybierz pozycję Utwórz.

Program PowerShell

Utwórz grupę zasobów za pomocą polecenia New-AzResourceGroup o nazwie test-rg w eastus2 lokalizacji.

$rg =@{
    Name = 'test-rg'
    Location = 'eastus2'
}
New-AzResourceGroup @rg

Utwórz sieć wirtualną za pomocą polecenia New-AzVirtualNetwork i New-AzVirtualNetworkSubnetConfig .

## Create backend subnet config ##
$subnet = @{
    Name = 'subnet-1'
    AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = New-AzVirtualNetworkSubnetConfig @subnet 

## Create the virtual network ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
    Location = 'eastus2'
    AddressPrefix = '10.0.0.0/16'
    Subnet = $subnetConfig
    EnableEncryption = 'true'
    EncryptionEnforcementPolicy = 'AllowUnencrypted'
}
New-AzVirtualNetwork @net

Interfejs wiersza polecenia

Utwórz grupę zasobów za pomocą polecenia az group create o nazwie test-rg w eastus2 lokalizacji.

  az group create \
    --name test-rg \
    --location eastus2

Użyj polecenia az network vnet create , aby utworzyć sieć wirtualną.

  az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24 

Ważne

Aby zaszyfrować ruch, szyfrowanie sieci wirtualnej wymaga obsługiwanych wersji maszyn wirtualnych w sieci wirtualnej. Ustawienie dropUnencrypted przerywa ruch między nieobsługiwaną wersją maszyny wirtualnej, jeśli są one wdrażane w sieci wirtualnej. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące szyfrowania usługi Azure Virtual Network.

Włączanie szyfrowania w sieci wirtualnej

Portal

Wykonaj poniższe kroki, aby włączyć szyfrowanie dla sieci wirtualnej.

1. W polu wyszukiwania w górnej części portalu rozpocznij wprowadzanie sieci wirtualnych. Gdy sieci wirtualne są wyświetlane w wynikach wyszukiwania, wybierz ją.

2. Wybierz pozycję vnet-1 , aby otworzyć okienko vnet-1 .

3. W menu usługi wybierz pozycję Przegląd, a następnie wybierz kartę Właściwości .

4. W obszarze Szyfrowanie wybierz pozycję Wyłączone.

   

5. Zaznacz pole obok pozycji Szyfrowanie sieci wirtualnej.

6. Wybierz pozycję Zapisz.

Program PowerShell

Szyfrowanie w istniejącej sieci wirtualnej można również włączyć przy użyciu polecenia Set-AzVirtualNetwork. Ten krok nie jest konieczny, jeśli sieć wirtualna została utworzona z włączonym szyfrowaniem w poprzednich krokach.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

## Enable encryption on the virtual network ##
$vnet.Encryption = @{
    Enabled = 'true'
    Enforcement = 'allowUnencrypted'
}
$vnet | Set-AzVirtualNetwork

Interfejs wiersza polecenia

Szyfrowanie w istniejącej sieci wirtualnej można również włączyć za pomocą polecenia az network vnet update. Ten krok nie jest konieczny, jeśli sieć wirtualna została utworzona z włączonym szyfrowaniem w poprzednich krokach.

  az network vnet update \
    --resource-group test-rg \
    --name vnet-1 \
    --enable-encryption true \
    --encryption-enforcement-policy allowUnencrypted

Sprawdź, czy szyfrowanie jest włączone

Portal

1. W polu wyszukiwania w górnej części portalu rozpocznij wprowadzanie sieci wirtualnych. Gdy sieci wirtualne są wyświetlane w wynikach wyszukiwania, wybierz ją.

2. Wybierz pozycję vnet-1 , aby otworzyć okienko vnet-1 .

3. W menu usługi wybierz pozycję Przegląd, a następnie wybierz kartę Właściwości .

4. Sprawdź, czy dla opcji Szyfrowanie ustawiono wartość Włączone.

   

Program PowerShell

Użyj polecenia Get-AzVirtualNetwork , aby wyświetlić parametr szyfrowania dla utworzonej wcześniej sieci wirtualnej.

## Place the virtual network configuration into a variable. ##
$net = @{
    Name = 'vnet-1'
    ResourceGroupName = 'test-rg'
}
$vnet = Get-AzVirtualNetwork @net

Aby wyświetlić parametr szyfrowania, wprowadź następujące informacje:

$vnet.Encryption

Enabled Enforcement
------- -----------
True   allowUnencrypted

Interfejs wiersza polecenia

Użyj polecenia az network vnet show , aby wyświetlić parametr szyfrowania dla utworzonej wcześniej sieci wirtualnej.

  az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv

user@Azure:~$ az network vnet show \
    --resource-group test-rg \
    --name vnet-1 \
    --query encryption \
    --output tsv
True   AllowUnencrypted

Czyszczenie zasobów

Portal

Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.

1. W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.

2. Na stronie Grupy zasobów wybierz grupę zasobów test-rg.

3. Na stronie test-rg wybierz pozycję Usuń grupę zasobów.

4. Wprowadź ciąg test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.

Program PowerShell

Jeśli ta grupa zasobów nie jest już potrzebna, użyj polecenia Remove-AzResourceGroup , aby usunąć grupę zasobów i wszystkie zawarte w niej zasoby.

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

Interfejs wiersza polecenia

Po zakończeniu pracy z siecią wirtualną użyj polecenia az group delete , aby usunąć grupę zasobów i wszystkie jej zasoby.

az group delete \
    --name test-rg \
    --yes

Powiązana zawartość

• Aby uzyskać więcej informacji na temat sieci wirtualnej, zobacz Co to jest usługa Azure Virtual Network?.
• Aby uzyskać więcej informacji na temat szyfrowania sieci wirtualnej, zobacz Co to jest szyfrowanie usługi Azure Virtual Network?.