快速入門:建立網路安全性周邊 - Azure CLI
使用 Azure CLI 建立 Azure 金鑰保存庫的網路安全性周邊,以開始使用網路安全性周邊。 網路安全性周邊可讓 Azure PaaS (PaaS)資源在明確信任的界限內通訊。 接下來,您會在網路安全周邊配置檔中建立及更新 PaaS 資源關聯。 然後,您會建立及更新網路安全性周邊存取規則。 完成時,您會刪除在本快速入門中建立的所有資源。
重要
網路安全性周邊處於公開預覽狀態,且適用於所有 Azure 公用雲端區域。 此預覽版本是在沒有服務等級協定的情況下提供,不建議用於生產工作負載。 可能不支援特定功能,或可能已經限制功能。 如需詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
需要註冊 Azure 網路安全周邊公開預覽。 若要註冊,請將
AllowNSPInPublicPreview功能旗標新增至您的訂用帳戶。
如需新增功能旗標的詳細資訊,請參閱 在 Azure 訂用帳戶中設定預覽功能。
新增功能旗標之後,您必須在訂用帳戶中重新註冊
Microsoft.Network資源提供者。若要在 Azure 入口網站 中重新註冊
Microsoft.Network資源提供者,請選取您的訂用帳戶,然後選取 [資源提供者]。 搜尋Microsoft.Network並選取 [重新註冊]。
若要重新註冊
Microsoft.Network資源提供者,請使用下列 Azure PowerShell 命令:
# Register the Microsoft.Network resource provider Register-AzResourceProvider -ProviderNamespace Microsoft.Network若要重新註冊
Microsoft.Network資源提供者,請使用下列 Azure CLI 命令:# Register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
如需重新註冊資源提供者的詳細資訊,請參閱 Azure 資源提供者和類型。
- 最新的 Azure CLI,或者您可以在入口網站中使用 Azure Cloud Shell。
- 本文 需要 Azure CLI 2.38.0 版或更新版本 。 如果您是使用 Azure Cloud Shell,就已安裝最新版本。
- 升級至最新版本的 Azure CLI 之後,請使用
az extension add --name nsp匯入網路安全周邊命令。
在 Azure Cloud Shell 中使用 Bash 環境。 如需詳細資訊,請參閱 Azure Cloud Shell 中的 Bash 快速入門。
若要在本地執行 CLI 參考命令,請安裝 Azure CLI。 若您在 Windows 或 macOS 上執行,請考慮在 Docker 容器中執行 Azure CLI。 如需詳細資訊,請參閱〈如何在 Docker 容器中執行 Azure CLI〉。
如果您使用的是本機安裝,請使用 az login 命令,透過 Azure CLI 來登入。 請遵循您終端機上顯示的步驟,完成驗證程序。 如需其他登入選項,請參閱使用 Azure CLI 登入。
出現提示時,請在第一次使用時安裝 Azure CLI 延伸模組。 如需擴充功能詳細資訊,請參閱使用 Azure CLI 擴充功能。
執行 az version 以尋找已安裝的版本和相依程式庫。 若要升級至最新版本,請執行 az upgrade。
聯機到您的 Azure 帳戶,然後選取您的訂用帳戶
若要開始使用,請連線到 Azure Cloud Shell 或使用您的本機 CLI 環境。
如果使用 Azure Cloud Shell,請登入並選取您的訂用帳戶。
如果您在本機安裝 CLI,請使用下列命令登入:
# Sign in to your Azure account az login在殼層中,使用下列命令在本機選取作用中的訂用帳戶:
# List all subscriptions az account set --subscription <Azure Subscription> # Re-register the Microsoft.Network resource provider az provider register --namespace Microsoft.Network
建立資源群組和金鑰保存庫
您必須先建立資源群組和密鑰保存庫資源,才能建立網路安全性周邊。
此範例會在 WestCentralUS 位置建立名為 resource-group 的資源群組,並在資源群組中建立名為 key-vault-YYYYYDMM 的密鑰保存庫,其中包含下列命令:
az group create \
--name resource-group \
--location westcentralus
# Create a key vault using a datetime value to ensure a unique name
key_vault_name="key-vault-$(date +%s)"
az keyvault create \
--name $key_vault_name \
--resource-group resource-group \
--location westcentralus \
--query 'id' \
--output tsv
建立網路安全性周邊
在此步驟中,使用 az network perimeter create 命令建立網路安全性周邊。
注意
請勿將任何個人可識別或敏感數據放入網路安全性周邊規則或其他網路安全性周邊設定中。
az network perimeter create\
--name network-security-perimeter \
--resource-group resource-group \
-l westcentralus
建立及更新 PaaS 資源與新配置檔的關聯
在此步驟中,您會建立新的配置檔,並使用 和 az network perimeter association create 命令將 PaaS 資源 Azure 金鑰保存庫 與配置檔az network perimeter profile create產生關聯。
注意
--private-link-resource針對 和 --profile 參數值,分別將 和 <networkSecurityPerimeterProfileId> 取代<PaaSArmId>為密鑰保存庫和配置檔識別碼的值。
使用下列命令為您的網路安全性周邊建立新的設定檔:
# Create a new profile az network perimeter profile create \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter將 Azure 金鑰保存庫 (PaaS 資源) 與網路安全性周邊配置檔與下列命令產生關聯。
# Get key vault id az keyvault show \ --name $key_vault_name \ --resource-group resource-group \ --query 'id' # Get the profile id az network perimeter profile show \ --name network-perimeter-profile \ --resource-group resource-group \ --perimeter-name network-security-perimeter # Associate the Azure Key Vault with the network security perimeter profile # Replace <PaaSArmId> and <networkSecurityPerimeterProfileId> with the ID values for your key vault and profile az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Learning \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"藉由將存取模式變更為使用 命令強制執行
az network perimeter association create來更新關聯,如下所示:az network perimeter association create \ --name network-perimeter-association \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --access-mode Enforced \ --private-link-resource "{id:<PaaSArmId>}" \ --profile "{id:<networkSecurityPerimeterProfileId>}"
管理網路安全性周邊存取規則
在此步驟中,您會使用 az network perimeter profile access-rule 命令建立、更新及刪除具有公用IP位址前綴的網路安全性周邊存取規則。
使用下列命令所建立之配置檔的公用IP位址前置詞,建立輸入存取規則:
# Create an inbound access rule az network perimeter profile access-rule create \ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "[192.0.2.0/24]"使用下列命令,以另一個公用IP位址前置更新您的輸入存取規則:
# Update the inbound access rule az network perimeter profile access-rule create\ --name access-rule \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group \ --address-prefixes "['198.51.100.0/24', '192.0.2.0/24']"如果您需要刪除存取規則,請使用下列命令:
# Delete the access rule az network perimeter profile access-rule delete \ --Name network-perimeter-association \ --profile-name network-perimeter-profile \ --perimeter-name network-security-perimeter \ --resource-group resource-group
注意
如果未將受控識別指派給支援它的資源,則會拒絕對相同周邊內其他資源的輸出存取。 訂用帳戶型輸入規則,旨在允許從此資源存取不會生效。
刪除所有資源
若要刪除本快速入門中的網路安全性周邊和其他資源,請使用下列命令:
# Delete the network security perimeter association
az network perimeter association delete \
--name network-perimeter-association \
--resource-group resource-group \
--perimeter-name network-security-perimeter
# Delete the network security perimeter
az network perimeter delete \
--resource-group resource-group \
--name network-security-perimeter --yes
# Delete the key vault
az keyvault delete \
--name $key_vault_name \
--resource-group resource-group
# Delete the resource group
az group delete \
--name resource-group \
--yes \
--no-wait
注意
從網路安全性周邊移除您的資源關聯會導致訪問控制回復到現有的資源防火牆設定。 這可能會導致根據資源防火牆組態允許/拒絕存取。 如果 PublicNetworkAccess 設定為 SecuredByPerimeter 且已刪除關聯,則資源會進入鎖定狀態。 如需詳細資訊,請參閱 轉換至 Azure 中的網路安全性周邊。