教學課程:使用 Azure 私人端點連線至儲存體帳戶
Azure 私人端點是 Azure 中私人連結的基本建置組塊。 其可讓虛擬機器 (VM) 這類 Azure 資源私下且安全地與 Azure 儲存體這類 Private Link 資源進行通訊。
在本教學課程中,您會了解如何:
- 建立虛擬網路和堡壘主機。
- 建立儲存體帳戶並停用公用存取。
- 針對儲存體帳戶建立私人端點。
- 建立虛擬機器。
- 測試對儲存體帳戶私人端點的連線能力。
必要條件
- Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶。
登入 Azure
登入 Azure 入口網站。
建立虛擬網路和 Azure Bastion 主機
下列程序會建立具有資源子網路、Azure Bastion 子網路和 Bastion 主機的虛擬網路:
在入口網站中,搜尋並選取 [虛擬網路]。
在 [虛擬網路] 頁面上,選取 [+ 建立]。
在 [建立虛擬網路] 的 [基本] 索引標籤上,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [新建]
輸入 test-rg 作為名稱。
選取 [確定]。[執行個體詳細資料] 名稱 輸入 vnet-1。 區域 選取 [美國東部 2]。 選取 [下一步],繼續前往 [安全性] 索引標籤。
在 [Azure Bastion] 區段中,選取 [啟用 Azure Bastion]。
Bastion 會使用您的瀏覽器,透過安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 連線至虛擬網路中的 VM (使用其私人 IP 位址)。 VM 不需要公用 IP 位址、用戶端軟體或特殊設定。 如需詳細資訊,請參閱什麼是 Azure Bastion?。
在 Azure Bastion 中,輸入或選取下列資訊:
設定 值 Azure Bastion 主機名稱 輸入 bastion。 Azure Bastion 公用 IP 位址 選取 [建立公用 IP 位址]。
在 [名稱] 中輸入 public-ip-bastion。
選取 [確定]。選取 [下一步],繼續前往 [IP 位址] 索引標籤。
在 [子網路] 的 [位址空間] 方塊中,選取 [預設] 子網路。
在 [編輯子網路] 中,輸入或選取下列資訊:
設定 值 子網路用途 保留 Default 的預設值。 名稱 輸入 subnet-1。 IPv4 IPv4 位址範圍 保留 10.0.0.0/16 的預設值。 起始位址 保留預設值 [10.0.0.0]。 大小 保留 /24 (256 個位址) 的預設值。 選取 [儲存]。
選取視窗底部的 [檢閱 + 建立]。 通過驗證後,選取 [建立]。
建立儲存體帳戶
請依照本文中的步驟建立 Azure 儲存體帳戶。 如果您已經有儲存體帳戶,您可以改用它。
在入口網站頂端的搜尋方塊中,輸入儲存體帳戶。 選取搜尋結果中的儲存體帳戶。
選取 + 建立。
在 [建立儲存體帳戶] 的 [基本] 索引標籤中,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取 Azure 訂閱。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 儲存體帳戶名稱 輸入 storage1。 如果名稱無法使用,請輸入唯一的名稱。 Location 選取 [(美國) 美國東部 2]。 效能 保留預設值 [標準]。 備援性 選取 [本地備援儲存體 (LRS)]。 選取審查。
選取 建立。
停用儲存體帳戶的公用存取
建立私人端點之前,建議您停用儲存體帳戶的公用存取。 請使用下列步驟來停用儲存體帳戶的公用存取。
在入口網站頂端的搜尋方塊中,輸入儲存體帳戶。 選取搜尋結果中的儲存體帳戶。
選取 [storage1] 或您現有儲存體帳戶的名稱。
在 [安全性 + 網路] 中,選取 [網路]。
在 [公用網络存取] 的 [防火牆和虛擬網路] 索引標籤中,選取 [停用]。
選取 [儲存]。
建立私人端點
在入口網站頂端的搜尋方塊中,輸入私人端點。 選取 [私人端點]。
在[私人端點] 中選取[+ 建立]。
在 [建立私人端點] 的 [基本] 索引標籤中,輸入或選取下列資訊。
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg] [執行個體詳細資料] 名稱 輸入 private-endpoint。 網路介面名稱 保留預設值 [private-endpoint-nic]。 區域 選取 [美國東部 2]。 選取 [下一步:資源]。
在 [資源] 窗格中,輸入或選取下列資訊。
設定 值 連線方式 保留 [連線至我目錄中的 Azure 資源] 的預設。 訂用帳戶 選取您的訂用帳戶。 資源類型 選取 [Microsoft.Storage/storageAccounts]。 資源 選取 [storage-1] 或您的儲存體帳戶。 目標子資源 選取 [Blob]。 選取 [下一步:虛擬網路]。
在 [建立虛擬網路] 中,輸入或選取下列資訊。
設定 值 網路功能 虛擬網路 選取 [vnet-1 (test-rg)]。 子網路 選取 [subnet-1]。 私人端點的網路原則 選取 [編輯] 以套用私人端點的網路原則。
在 [編輯子網路網路原則] 中,選取 [該子網路中所有私人端點的網路原則設定] 下拉式清單中 [網路安全性群組] 和 [路由表] 旁的核取方塊。
選取 [儲存]。
如需詳細資訊,請參閱管理私人端點的網路原則選取 [下一步:DNS]。
保留 [DNS] 中的預設。 選取 [下一步:標記],然後選取 [下一步:檢閱 + 建立]。
選取 建立。
建立測試虛擬機器
下列程序會在虛擬網路中建立名為 vm-1 的測試虛擬機器 (VM)。
在入口網站中,搜尋並選取 [虛擬機器]。
在 [虛擬機器] 中,選取 [+ 建立],然後選取 [Azure 虛擬機器]。
在 [建立虛擬機器] 的 [基本] 索引標籤上,輸入或選取下列資訊:
設定 值 專案詳細資料 訂用帳戶 選取您的訂用帳戶。 資源群組 選取 [test-rg]。 [執行個體詳細資料] 虛擬機器名稱 輸入 vm-1。 區域 選取 [美國東部 2]。 可用性選項 選取 [不需要基礎結構備援]。 安全性類型 保留預設值 [標準]。 映像 選取 [Windows Server 2022 Datacenter - x64 Gen2]。 VM 架構 保留預設值 [x64]。 大小 選取大小。 系統管理員帳戶 驗證類型 選取 [密碼]。 使用者名稱 輸入 azureuser。 密碼 輸入密碼。 確認密碼 請重新輸入密碼。 輸入連接埠規則 公用輸入連接埠 選取 [無]。 選取頁面頂端的 [網路] 索引標籤。
在 [網路] 索引標籤中,輸入或選取以下資訊:
設定 值 網路介面 虛擬網路 選取 [vnet-1]。 子網路 選取 [subnet-1 (10.0.0.0/24)]。 公用 IP 選取 [無]。 NIC 網路安全性群組 選取進階。 設定網路安全性群組 選取 [新建]
輸入 nsg-1 作為名稱。
將其餘項目保留為預設值,然後選取 [確定]。將其餘設定保留為預設值,然後選取 [檢閱 + 建立]。
檢閱設定並選取 [建立]。
注意
虛擬網路中的虛擬機器 (具有 Bastion 主機) 不需要公用 IP 位址。 Bastion 會提供公用 IP,而 VM 會使用私人 IP 在網路內通訊。 您可以從裝載了 Bastion 的虛擬網路中,移除任何 VM 的公用 IP。 如需詳細資訊,請參閱中斷公用 IP 位址與 Azure VM 的關聯。
注意
無論是未獲指派公用 IP 位址的 VM,或位於內部基本 Azure 負載平衡器後端集區的 VM,Azure 都會為其提供預設輸出存取 IP。 預設輸出存取 IP 機制能提供無法自行設定的輸出 IP 位址。
發生下列其中一個事件時,會停用預設輸出存取 IP:
- 公用 IP 位址會指派給 VM。
- 無論有沒有輸出規則,都會將 VM 放在標準負載平衡器的後端集區中。
- Azure NAT 閘道資源會指派給 VM 的子網路。
您在彈性協調流程模式中使用虛擬機器擴展集建立的 VM 沒有預設輸出存取。
如需 Azure 中輸出連線的詳細資訊,請參閱 Azure 中的預設對外存取與針對輸出連線,使用來源網路位址轉譯 (SNAT)。
儲存體存取金鑰
後續步驟需要用到儲存體存取金鑰。 移至您先前建立的儲存體帳戶,並複製包含儲存體帳戶存取金鑰的連接字串。
在入口網站頂端的搜尋方塊中,輸入儲存體帳戶。 選取搜尋結果中的儲存體帳戶。
選取您在先前步驟中建立的儲存體帳戶或現有的儲存體帳戶。
在儲存體帳戶的 [安全性 + 網路] 區段中,選取 [存取金鑰]。
選取 [顯示],然後在 key1 的 [連接字串] 上選取 [複製]。
新增 Blob 容器
在入口網站頂端的搜尋方塊中,輸入儲存體帳戶。 選取搜尋結果中的儲存體帳戶。
選取您在上一個步驟中建立的儲存體帳戶。
在 [資料儲存體] 區段中,選取 [容器]。
選取 [+ 容器] 以建立新的容器。
在 [名稱] 中輸入 container,然後在 [公用存取層級] 下選取 [私人 (沒有匿名存取)]。
選取 建立。
測試對私人端點的連線能力
在本節中,您會使用已在先前步驟中建立的虛擬機器,以使用 [Microsoft Azure 儲存體總管] 來連線至私人端點上的儲存體帳戶。
在入口網站頂端的搜尋方塊中,輸入虛擬機器。 在搜尋結果中,選取 [虛擬機器]。
選取 [vm-1]。
在 [連線] 中,選取 [Bastion]。
輸入您在虛擬機器建立期間輸入的使用者名稱與密碼。
選取 Connect。
連線之後,在伺服器上開啟 Windows PowerShell。
輸入
nslookup <storage-account-name>.blob.core.windows.net
。 以先前步驟所建立的儲存體帳戶名稱取代 <storage-account-name>。 以下範例顯示命令的輸出。Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.net
會針對儲存體帳戶名稱傳回 10.0.0.10 的私人 IP 位址。 此位址位於您先前所建立 vnet-1 虛擬網路的 subnet-1 子網路中。
在虛擬機器上安裝 Microsoft Azure 儲存體總管。
在安裝 [Microsoft Azure 儲存體總管] 之後,選取 [完成]。 保持方塊核取狀態以開啟應用程式。
選取 [電源插頭] 符號,開啟左側工具列中的 [選取資源] 對話方塊。
在 [選取資源] 中,選取 [儲存體帳戶或服務],以將 [Microsoft Azure 儲存體總管] 中的連線新增至您已在先前步驟中建立的儲存體帳戶。
在 [選取連線方法] 畫面中,選取 [連接字串],然後選取 [下一步]。
在 [連接字串] 底下的方塊中,貼上您在先前步驟中所複製儲存體帳戶的連接字串。 儲存體帳戶名稱會自動填入 [顯示名稱] 下的方塊中。
選取 [下一步]。
確認 [摘要] 中的設定是否正確。
選取連線
從總管功能表中的 [儲存體帳戶] 中,選取您的儲存體帳戶。
依序展開儲存體帳戶和 [Blob 容器]。
您先前建立的容器會隨即顯示。
關閉與 vm-1 的連線。
使用完所建立的資源時,您可以刪除資源群組及其所有資源。
在 Azure 入口網站中,搜尋並選取 [資源群組]。
在 [資源群組] 頁面上,選取 [test-rg] 資源群組。
在 [test-rg] 頁面上,選取 [刪除資源群組]。
在 [輸入資源群組名稱以確認刪除] 中輸入 test-rg,然後選取 [刪除]。
下一步
在本教學課程中,您已了解如何建立:
建立虛擬網路和堡壘主機。
虛擬機器。
儲存體帳戶和容器。
了解如何透過 Azure 私人端點連線至 Azure Cosmos DB 帳戶: