你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
快速入门: 创建网络安全外围 - Azure 门户
要开始使用网络安全外围,首先使用 Azure 门户 为 Azure Key Vault 创建网络安全外围。 网络安全外围允许 Azure 平台即服务 (PaaS) 资源在显式受信任的边界内进行通信。 接下来,在网络安全外围配置文件中创建和更新 PaaS 资源的关联。 然后创建并更新网络安全外围访问规则。 完成后,删除在本快速入门中创建的所有资源。
重要
网络安全外围处于公共预览状态,可在所有 Azure 公有云区域中使用。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
先决条件
在开始之前,请确保具有以下各项:
- 具有活动订阅和 Azure 门户访问权限的 Azure 帐户。 如果还没有 Azure 帐户,可以免费创建帐户。
需要注册 Azure 网络安全外围公共预览版。 要注册,请将
AllowNSPInPublicPreview功能添加到订阅。
有关添加功能标志的详细信息,请参阅在 Azure 订阅中设置预览功能。
添加功能标志后,需要在订阅中重新注册
Microsoft.Network资源提供程序。要在 Azure 门户中重新注册
Microsoft.Network资源提供程序,请选择你的订阅,然后选择“资源提供程序”。 搜索Microsoft.Network,并选择“重新注册”。
使用以下 Azure PowerShell 命令重新注册
Microsoft.Network资源提供程序:
# Register the Microsoft.Network resource provider Register-AzResourceProvider -ProviderNamespace Microsoft.Network使用以下 Azure CLI 命令重新注册
Microsoft.Network资源提供程序:# Register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
有关重新注册资源提供程序的详细信息,请参阅 Azure 资源提供程序和类型。
登录到 Azure 门户
使用 Azure 帐户登录到 Azure 门户。
创建资源组和 Key Vault
在创建网络安全外围之前,请创建一个资源组来保存所有资源和受网络安全外围保护的密钥保管库。
注意
Azure Key Vault 需要唯一的名称。 如果收到错误,表示该名称已被使用,请尝试其他名称。 在本示例中,我们通过以下方式使用唯一的名称: 将年(YYYY)、月(MM)和日(DD)添加到名称中 - key-vault-YYYYDDMM。
在门户顶部的搜索框中,输入“密钥保管库”。 在搜索结果中选择“密钥保管库”。
在显示的密钥保管库帐户窗口中,选择“+ 创建”。
在“创建密钥保管库”页中,输入以下信息:
设置 值 订阅 选择要用于此密钥保管库的订阅。 资源组 选择“新建”,然后输入“resource-group”作为名称。 密钥保管库名称 输入“key-vault-” <RandomNameInformation>。区域 选择要在其中创建密钥保管库的区域。 在本快速入门中,使用的是“(美国)美国中西部”。 保留其余默认设置,然后选择“查看 + 创建”>“创建”。
创建网络安全外围
创建密钥保管库后,可以继续创建网络安全外围。
注意
对于组织和信息安全,建议不要在网络安全外围规则或其他网络安全外围配置中添加任何个人身份信息或敏感数据。
在 Azure 门户的搜索框中,输入“网络安全外围”。 从搜索结果中选择“网络安全外围”。
在“网络安全外围”窗口中,选择“+ 创建”。
在“创建网络安全外围”窗口中,输入以下信息:
设置 值 订阅 选择要用于此网络安全外围的订阅。 资源组 选择“resource-group”。 名称 输入“网络安全外围”。 区域 选择要在其中创建网络安全外围的区域。 在本快速入门中,使用的是“(美国)美国中西部”。 配置文件名称 输入 profile-1。 选择“资源”选项卡或“下一步”继续执行下一步。
在“资源”页上,选择“+ 添加”。
在“选择资源”窗口中,选中“key-vault-YYYYDDMM”,然后选择“选择”。
选择“入站访问规则”,然后选择“+ 添加”。
在“添加入站访问规则”窗口中,输入以下信息,然后选择“添加”:
设置 值 规则名称 输入 inbound-rule。 源类型 选择 IP 地址范围。 允许的源 输入要允许来自哪个公共 IP 地址范围的入站流量。 选择“出站访问规则”,然后选择“+ 添加”。
在“添加出站访问规则”窗口中,输入以下信息,然后选择“添加”:
设置 值 规则名称 输入 outbound-rule。 目标类型 选择“FQDN”。 允许的目标 输入要允许的目标的 FQDN。 例如 www.contoso.com。 选择“查看 + 创建”,然后选择“创建” 。
选择“转到资源”以查看新创建的网络安全外围。
注意
如果托管标识未分配给支持它的资源,则对同一边界内其他资源的出站访问将被拒绝。 基于订阅的入站规则(旨在允许来自该资源的访问)将不会生效。
删除网络安全外围
如果不再需要网络安全外围,请删除与网络安全外围关联的所有资源,然后按照以下步骤删除外围:
- 在网络安全外围中,选择“设置”下的“关联资源”。
- 从关联的资源列表中选择 key-vault-YYYYDDMM。
- 在操作栏中,选择“设置”,然后在确认窗口中选择“删除”。
- 导航回网络安全外围的“概述”页。
- 选择“删除”,然后在资源名称的文本框中输入“network-security-perimeter”以确认删除。
- 浏览到“资源组”,然后选择“删除”以删除资源组及其中的所有资源。
注意
从网络安全外围删除资源关联会导致访问控制回退到现有资源防火墙配置。 这可能会导致根据资源防火墙配置允许/拒绝访问。 如果 PublicNetworkAccess 设置为 SecuredByPerimeter 并已删除关联,则资源将进入锁定状态。 有关详细信息,请参阅在 Azure 中过渡到网络安全外围。