Zelfstudie: Netwerktoegang tot PaaS-resources beperken met service-eindpunten voor virtuele netwerken

• Een Azure-account met een actief abonnement. Maak gratis een account.

Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.

Azure Cloud Shell

Azure host Azure Cloud Shell, een interactieve shell-omgeving die u via uw browser kunt gebruiken. U kunt Bash of PowerShell gebruiken met Cloud Shell om met Azure-services te werken. U kunt de vooraf geïnstalleerde Cloud Shell-opdrachten gebruiken om de code in dit artikel uit te voeren zonder dat u iets hoeft te installeren in uw lokale omgeving.

Om Azure Cloud Shell op te starten:

Optie	Voorbeeld/koppeling
Selecteer Uitproberen in de rechterbovenhoek van een code- of opdrachtblok. Als u Try It selecteert, wordt de code of opdracht niet automatisch gekopieerd naar Cloud Shell.
Ga naar https://shell.azure.com, of selecteer de knop Cloud Shell starten om Cloud Shell in uw browser te openen.
Klik op de knop Cloud Shell in het menu in de balk rechtsboven in de Azure-portal.

Azure Cloud Shell gebruiken:

1. Start Cloud Shell.

2. Selecteer de knop Kopiëren op een codeblok (of opdrachtblok) om de code of opdracht te kopiëren.

3. Plak de code of opdracht in de Cloud Shell-sessie door Ctrl+Shift+V op Windows en Linux te selecteren, of door Cmd+Shift+V op macOS te selecteren.

4. Selecteer Enter om de code of opdracht uit te voeren.

Als u PowerShell lokaal wilt installeren en gebruiken, is voor dit artikel versie 1.0.0 of hoger van de Azure PowerShell-module vereist. Voer Get-Module -ListAvailable Az uit om te kijken welke versie is geïnstalleerd. Als u PowerShell wilt upgraden, raadpleegt u De Azure PowerShell-module installeren. Als u PowerShell lokaal uitvoert, moet u ook Connect-AzAccount uitvoeren om verbinding te kunnen maken met Azure.

Als u geen Azure-account hebt, maak dan een gratis account aan voordat u begint.

• Gebruik de Bash-omgeving in Azure Cloud Shell. Zie Aan de slag met Azure Cloud Shell voor meer informatie.

  

• Installeer de Azure CLI, indien gewenst, om CLI-referentieopdrachten uit te voeren. Als u in Windows of macOS werkt, kunt u Azure CLI uitvoeren in een Docker-container. Zie De Azure CLI uitvoeren in een Docker-container voor meer informatie.

  • Als u een lokale installatie gebruikt, meldt u zich aan bij Azure CLI met behulp van de opdracht az login. Volg de stappen die worden weergegeven in de terminal, om het verificatieproces te voltooien. Zie Verifiëren bij Azure met behulp van Azure CLI voor andere aanmeldingsopties.

  • Installeer de Azure CLI-extensie bij het eerste gebruik, wanneer u hierom wordt gevraagd. Zie Extensies gebruiken en beheren met de Azure CLIvoor meer informatie over extensies.

  • Voer az version uit om de geïnstalleerde versie en afhankelijke bibliotheken te vinden. Voer az upgrade uit om te upgraden naar de nieuwste versie.

• Voor dit artikel is versie 2.0.28 of hoger van Azure CLI vereist. Als u Azure Cloud Shell gebruikt, is de nieuwste versie al geïnstalleerd.

Een virtueel netwerk en een Azure Bastion-host maken

Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Bastion-host:

1. Zoek en selecteer virtuele netwerken in de portal.

2. Selecteer + Maken op de pagina Virtuele netwerken.

3. Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende informatie in of selecteer deze.

   Configuratie	Waarde
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer Nieuw maken. Voer test-rg in voor de naam. Klik op OK.
   Instantiegegevens
   Naam	Voer vnet-1 in.
   Regio	Selecteer Oost-Amerika 2.

   

4. Selecteer Volgendeom door te gaan naar het tabblad Beveiliging.

5. In de sectie Azure Bastion, selecteer Azure Bastion inschakelen.

   Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion? voor meer informatie.

   Notitie

   De uurtarieven gaan in vanaf het moment dat Bastion wordt ingezet, ongeacht uitgaand dataverbruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

6. Voer in Azure Bastion de volgende gegevens in of selecteer deze:

   Configuratie	Waarde
   Azure Bastion-hostnaam	Voer bastion in.
   Openbaar IP-adres van Azure Bastion	Selecteer Een openbaar IP-adres maken. Voer public-ip-bastion in naam in. Klik op OK.

   

7. Selecteer Volgendeom door te gaan naar het tabblad IP-adressen.

8. Selecteer in het adresruimtevak in Subnetten het standaardsubnet .

9. Voer in Subnet bewerken de volgende informatie in of selecteer deze:

   Configuratie	Waarde
   Doel van het subnet	Laat de standaardwaarde Default staan.
   Naam	Voer subnet-1 in.
   IPv4
   IPv4-adresbereik	Laat de standaardwaarde 10.0.0.0/16 staan.
   Beginadres	Laat de standaardwaarde 10.0.0.0 staan.
   Grootte	Laat de standaardwaarde /24 (256 adressen) staan.

   

10. Selecteer Opslaan.

11. Selecteer Beoordelen en maken onderaan het venster. Wanneer de validatie is geslaagd, selecteert u Maken.

Service-eindpunten worden ingeschakeld per service, per subnet.

1. Zoek in het zoekvak boven aan de portalpagina naar Virtueel netwerk. Selecteer Virtuele netwerken in de zoekresultaten.

2. Selecteer vnet-1 in virtuele netwerken.

3. Selecteer Subnetten in de sectie Instellingen van vnet-1.

4. Selecteer + Subnet.

5. Voer op de pagina Subnet toevoegen de volgende gegevens in of selecteer deze:

   Configuratie	Waarde
   Naam	subnet-privé
   Subnet-adresbereik	Laat de standaardwaarde 10.0.2.0/24 staan.
   SERVICE-EINDPUNTEN
   Diensten	Selecteer Microsoft.Storage

6. Selecteer Opslaan.

Een virtueel netwerk maken

1. Voordat u een virtueel netwerk maakt, moet u een resourcegroep maken voor het virtuele netwerk en alle andere resources die in dit artikel zijn gemaakt. Maak een resourcegroep met behulp van de opdracht New-AzResourceGroup. In het volgende voorbeeld wordt een resourcegroep met de naam test-rg gemaakt:

   $rg = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
   }
   New-AzResourceGroup @rg
   

2. Maak een virtueel netwerk met New-AzVirtualNetwork. In het volgende voorbeeld wordt een virtueel netwerk met de naam vnet-1 gemaakt met het adresvoorvoegsel 10.0.0.0/16.

   $vnet = @{
       ResourceGroupName = "test-rg"
       Location = "westus2"
       Name = "vnet-1"
       AddressPrefix = "10.0.0.0/16"
   }
   $virtualNetwork = New-AzVirtualNetwork @vnet
   

3. Maak een subnetconfiguratie met New-AzVirtualNetworkSubnetConfig. In het volgende voorbeeld wordt een subnetconfiguratie gemaakt voor een subnet met de naam subnet-public:

   $subpub = @{
       Name = "subnet-public"
       AddressPrefix = "10.0.0.0/24"
       VirtualNetwork = $virtualNetwork
   }
   $subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig @subpub
   

4. Maak het subnet in het virtuele netwerk door de subnetconfiguratie naar het virtuele netwerk te schrijven met Set-AzVirtualNetwork:

   $virtualNetwork | Set-AzVirtualNetwork
   

5. Maak een ander subnet in het virtuele netwerk. In dit voorbeeld wordt een subnet met de naam subnet-privé gemaakt met een service-eindpunt voor Microsoft.Storage:

   $subpriv = @{
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       VirtualNetwork = $virtualNetwork
       ServiceEndpoint = "Microsoft.Storage"
   }
   $subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig @subpriv
   
   $virtualNetwork | Set-AzVirtualNetwork
   

Azure Bastion implementeren

Azure Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion?voor meer informatie over Bastion.

De uurtarieven gaan in vanaf het moment dat Bastion wordt ingezet, ongeacht uitgaand dataverbruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.

1. Configureer een Bastion-subnet voor uw virtuele netwerk. Dit subnet is exclusief gereserveerd voor Bastion-resources en moet De naam AzureBastionSubnet hebben.

   $subnet = @{
       Name = 'AzureBastionSubnet'
       VirtualNetwork = $virtualNetwork
       AddressPrefix = '10.0.1.0/26'
   }
   $subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
   

2. Stel de configuratie in:

   $virtualNetwork | Set-AzVirtualNetwork
   

3. Maak een openbaar IP-adres voor Bastion. De Bastion-host gebruikt het openbare IP-adres voor toegang tot SSH en RDP via poort 443.

   $ip = @{
           ResourceGroupName = 'test-rg'
           Name = 'public-ip'
           Location = 'westus2'
           AllocationMethod = 'Static'
           Sku = 'Standard'
           Zone = 1,2,3
   }
   New-AzPublicIpAddress @ip
   

4. Gebruik de opdracht New-AzBastion om een nieuwe standaard Bastion-host te maken in AzureBastionSubnet:

   $bastion = @{
       Name = 'bastion'
       ResourceGroupName = 'test-rg'
       PublicIpAddressRgName = 'test-rg'
       PublicIpAddressName = 'public-ip'
       VirtualNetworkRgName = 'test-rg'
       VirtualNetworkName = 'vnet-1'
       Sku = 'Basic'
   }
   New-AzBastion @bastion -AsJob
   

   Het duurt ongeveer 10 minuten om de Bastion-resources te implementeren. In de volgende sectie kunt u VM's maken terwijl Bastion wordt geïmplementeerd in uw virtuele netwerk.

Een virtueel netwerk maken

1. Voordat u een virtueel netwerk maakt, moet u een resourcegroep maken voor het virtuele netwerk en alle andere resources die in dit artikel zijn gemaakt. Maak een resourcegroep met az group create. In het volgende voorbeeld wordt een resourcegroep met de naam test-rg gemaakt op de locatie westus2 .

   az group create \
     --name test-rg \
     --location westus2
   

2. Maak een virtueel netwerk met één subnet met az network vnet create.

   az network vnet create \
     --name vnet-1 \
     --resource-group test-rg \
     --address-prefix 10.0.0.0/16 \
     --subnet-name subnet-public \
     --subnet-prefix 10.0.0.0/24
   

3. U kunt service-eindpunten alleen inschakelen voor services die service-eindpunten ondersteunen. Bekijk services met eindpuntondersteuning die beschikbaar zijn op een Azure-locatie met az network vnet list-endpoint-services. In het volgende voorbeeld wordt een lijst met services met service-eindpunten geretourneerd die beschikbaar zijn in de regio westus2 . De lijst met services die worden weergegeven zal na verloop van tijd groeien, naarmate meer Azure-services zijn uitgerust met service-eindpunten.

   az network vnet list-endpoint-services \
     --location westus2 \
     --out table
   

4. Maak een ander subnet in het virtuele netwerk met az network vnet subnet create. In dit voorbeeld wordt een service-eindpunt voor het subnet gemaakt voor Microsoft.Storage.

   az network vnet subnet create \
     --vnet-name vnet-1 \
     --resource-group test-rg \
     --name subnet-private \
     --address-prefix 10.0.1.0/24 \
     --service-endpoints Microsoft.Storage
   

Standaard kunnen alle exemplaren van virtuele machines in een subnet communiceren met alle resources. U kunt de communicatie naar en van alle bronnen in een subnet beperken door een netwerkbeveiligingsgroep te maken en deze aan het subnet te koppelen.

1. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer + Maken in netwerkbeveiligingsgroepen.

3. In het tabblad Basisbeginselen van netwerkbeveiligingsgroep maken, voert u de volgende informatie in of selecteert deze:

   Configuratie	Waarde
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Instantiegegevens
   Naam	Voer nsg-opslag in.
   Regio	Selecteer Oost-Amerika 2.

4. Selecteer Beoordelen + creëren en selecteer daarna Creëren.

1. Maak een netwerkbeveiligingsgroep met New-AzNetworkSecurityGroup. In het volgende voorbeeld wordt een netwerkbeveiligingsgroep met de naam nsg-private gemaakt.

   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Location = 'westus2'
       Name = 'nsg-private'
   }
   $nsg = New-AzNetworkSecurityGroup @nsgpriv
   

Maak een netwerkbeveiligingsgroep met az network nsg create. In het volgende voorbeeld wordt een netwerkbeveiligingsgroep met de naam nsg-private gemaakt.

az network nsg create \
  --resource-group test-rg \
  --name nsg-private

1. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

2. Selecteer nsg-storage.

3. Selecteer uitgaande beveiligingsregels in Instellingen.

4. Selecteer + Toevoegen.

5. Maak een regel die uitgaande communicatie naar de Azure Storage-service toestaat. Voer de volgende informatie in of selecteer deze in Uitgaande beveiligingsregel toevoegen:

   Configuratie	Waarde
   Bron	Selecteer Servicetag.
   Bron servicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Laat de standaardwaarde staan van *.
   Bestemming	Selecteer Servicetag.
   Bestemmingsservicetag	Selecteer Opslag.
   Dienst	Laat de standaardwaarde Aangepast staan.
   Poortbereiken van bestemming	Voer 445 in.
   protocol	Selecteer Alles.
   Handeling	Kies Toestaan.
   Prioriteit	Laat de standaardwaarde van 100 staan.
   Naam	Voer allow-storage-all in.

6. Selecteer + Toevoegen.

7. Maak een uitgaande beveiligingsregel die communicatie naar internet weigert. Deze regel overschrijft een standaardregel in alle netwerkbeveiligingsgroepen waarmee uitgaande internetcommunicatie mogelijk is. Voer de vorige stappen uit met de volgende waarden in Uitgaande beveiligingsregel toevoegen:

   Configuratie	Waarde
   Bron	Selecteer Servicetag.
   Bron servicetag	Selecteer VirtualNetwork.
   Poortbereiken van bron	Laat de standaardwaarde staan van *.
   Bestemming	Selecteer Servicetag.
   Bestemmingsservicetag	Selecteer Internet.
   Dienst	Laat de standaardwaarde Aangepast staan.
   Poortbereiken van bestemming	Voer * in.
   protocol	Selecteer Alles.
   Handeling	Selecteer Weigeren.
   Prioriteit	Laat de standaardwaarde 110 staan.
   Naam	Voer deny-internet-all in.

8. Selecteer Toevoegen.

9. Zoek in het zoekvak boven aan de portalpagina naar netwerkbeveiligingsgroep. Selecteer Netwerkbeveiligingsgroepen in de zoekresultaten.

10. Selecteer nsg-storage.

11. Selecteer Subnetten in Instellingen.

12. Selecteer + Toevoegen.

13. In subnet koppelen, selecteer vnet-1 in virtueel netwerk. Selecteer subnet-privé in Subnet.

14. Klik op OK.

1. Maak beveiligingsregels voor netwerkbeveiligingsgroepen met New-AzNetworkSecurityRuleConfig. De volgende regel staat uitgaande toegang toe tot de openbare IP-adressen die zijn toegewezen aan de Azure Storage-service:

   $r1 = @{
       Name = "Allow-Storage-All"
       Access = "Allow"
       DestinationAddressPrefix = "Storage"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 100
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   
   $rule1 = New-AzNetworkSecurityRuleConfig @r1
   

2. Met de volgende regel wordt de toegang tot alle openbare IP-adressen geweigerd. De vorige regel overschrijft deze regel vanwege de hogere prioriteit, waardoor toegang tot de openbare IP-adressen van Azure Storage mogelijk is.

   $r2 = @{
       Name = "Deny-Internet-All"
       Access = "Deny"
       DestinationAddressPrefix = "Internet"
       DestinationPortRange = "*"
       Direction = "Outbound"
       Priority = 110
       Protocol = "*"
       SourceAddressPrefix = "VirtualNetwork"
       SourcePortRange = "*"
   }
   $rule2 = New-AzNetworkSecurityRuleConfig @r2
   

3. Gebruik Get-AzNetworkSecurityGroup om het object van de netwerkbeveiligingsgroep op te halen in een variabele. Gebruik Set-AzNetworkSecurityRuleConfig om de regels toe te voegen aan de netwerkbeveiligingsgroep.

   # Retrieve the existing network security group
   $nsgpriv = @{
       ResourceGroupName = 'test-rg'
       Name = 'nsg-private'
   }
   $nsg = Get-AzNetworkSecurityGroup @nsgpriv
   
   # Add the new rules to the security group
   $nsg.SecurityRules += $rule1
   $nsg.SecurityRules += $rule2
   
   # Update the network security group with the new rules
   Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
   

4. Koppel de netwerkbeveiligingsgroep aan het subnet-privésubnet met Set-AzVirtualNetworkSubnetConfig en schrijf vervolgens de subnetconfiguratie naar het virtuele netwerk. In het volgende voorbeeld wordt de netwerkbeveiligingsgroep nsg-private gekoppeld aan het subnet-privésubnet :

   $subnet = @{
       VirtualNetwork = $VirtualNetwork
       Name = "subnet-private"
       AddressPrefix = "10.0.2.0/24"
       ServiceEndpoint = "Microsoft.Storage"
       NetworkSecurityGroup = $nsg
   }
   Set-AzVirtualNetworkSubnetConfig @subnet
   
   $virtualNetwork | Set-AzVirtualNetwork
   

1. Maak beveiligingsregels met az network nsg rule create. De volgende regel staat uitgaande toegang toe tot de openbare IP-adressen die zijn toegewezen aan de Azure Storage-service:

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-Storage-All \
     --access Allow \
     --protocol "*" \
     --direction Outbound \
     --priority 100 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Storage" \
     --destination-port-range "*"
   

2. Elke netwerkbeveiligingsgroep bevat verschillende standaardbeveiligingsregels. De regel die volgt overschrijft een standaardbeveiligingsregel waarmee uitgaande toegang tot alle openbare IP-adressen wordt toegestaan. De destination-address-prefix "Internet" optie weigert uitgaande toegang tot alle openbare IP-adressen. De vorige regel overschrijft deze regel vanwege de hogere prioriteit, waardoor toegang tot de openbare IP-adressen van Azure Storage mogelijk is.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Deny-Internet-All \
     --access Deny \
     --protocol "*" \
     --direction Outbound \
     --priority 110 \
     --source-address-prefix "VirtualNetwork" \
     --source-port-range "*" \
     --destination-address-prefix "Internet" \
     --destination-port-range "*"
   

3. Met de volgende regel wordt SSH-verkeer naar het subnet vanuit elke locatie toegestaan. De regel overschrijft een standaardbeveiligingsregel waardoor al het inkomende verkeer van internet wordt geweigerd. SSH is toegestaan voor het subnet, zodat de connectiviteit in een latere stap kan worden getest.

   az network nsg rule create \
     --resource-group test-rg \
     --nsg-name nsg-private \
     --name Allow-SSH-All \
     --access Allow \
     --protocol Tcp \
     --direction Inbound \
     --priority 120 \
     --source-address-prefix "*" \
     --source-port-range "*" \
     --destination-address-prefix "VirtualNetwork" \
     --destination-port-range "22"
   

4. Koppel de netwerkbeveiligingsgroep aan het subnet-privésubnet met az network vnet subnet update. In het volgende voorbeeld wordt de netwerkbeveiligingsgroep nsg-private gekoppeld aan het subnet-privésubnet :

   az network vnet subnet update \
     --vnet-name vnet-1 \
     --name subnet-private \
     --resource-group test-rg \
     --network-security-group nsg-private
   

De stappen die nodig zijn om de netwerktoegang te beperken tot resources die zijn gemaakt via Azure-services, die zijn ingeschakeld voor service-eindpunten, variëren per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van deze zelfstudie bevat stappen voor het beperken van de netwerktoegang voor een Azure Storage-account, bijvoorbeeld.

Een opslagaccount maken

Maak een Azure Storage-account voor de stappen in dit artikel. Als u al een opslagaccount hebt, kunt u dit gebruiken.

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer + Creëren.

3. Voer op het tabblad Basisbeginselen bij Maak een opslagaccount aan de volgende gegevens in of selecteer deze:

   Configuratie	Waarde
   Projectgegevens
   Abonnement	Selecteer uw Azure-abonnement.
   Resourcegroep	Selecteer test-rg.
   Instantiegegevens
   Naam van het opslagaccount	Voer opslag1 in. Als de naam niet beschikbaar is, voert u een unieke naam in.
   Locatie	Selecteer (VS) Oost VS 2.
   Prestaties	Laat de standaardwaarde Standard staan.
   Redundantie	Selecteer Lokaal redundante opslag (LRS).

4. Selecteer Beoordelen.

5. Klik op Creëren.

1. Maak een Azure-opslagaccount met New-AzStorageAccount. Vervang <replace-with-your-unique-storage-account-name> door een naam die uniek is voor alle Azure-locaties, tussen 3 en 24 tekens lang, met alleen cijfers en kleine letters.

   $storageAcctName = '<replace-with-your-unique-storage-account-name>'
   
   $storage = @{
       Location = 'westus2'
       Name = $storageAcctName
       ResourceGroupName = 'test-rg'
       SkuName = 'Standard_LRS'
       Kind = 'StorageV2'
   }
   New-AzStorageAccount @storage
   

2. Nadat het opslagaccount is gemaakt, haalt u de sleutel voor het opslagaccount op in een variabele met Get-AzStorageAccountKey:

   $storagekey = @{
     ResourceGroupName = 'test-rg'
     AccountName       = $storageAcctName
   }
   $storageAcctKey = (Get-AzStorageAccountKey @storagekey).Value[0]
   

   De sleutel wordt gebruikt om een bestandsshare te maken in een latere stap. Voer de waarde in $storageAcctKey en noteer deze. U voert dit handmatig in tijdens een latere stap wanneer u de bestandsdeling toewijst aan een schijf in een virtuele machine.

De stappen die nodig zijn om netwerktoegang te beperken tot resources die zijn gemaakt met Azure-services waarvoor service-eindpunten zijn ingeschakeld, verschillen per service. Zie de documentatie voor afzonderlijke services voor specifieke stappen voor elke service. De rest van dit artikel bevat stappen voor het beperken van de netwerktoegang voor een Azure Storage-account, bijvoorbeeld.

Een opslagaccount maken

1. Maak een Azure-opslagaccount met az storage account create. Vervang <replace-with-your-unique-storage-account-name> door een naam die uniek is voor alle Azure-locaties, tussen 3 en 24 tekens lang, met alleen cijfers en kleine letters.

   storageAcctName="<replace-with-your-unique-storage-account-name>"
   
   az storage account create \
     --name $storageAcctName \
     --resource-group test-rg \
     --sku Standard_LRS \
     --kind StorageV2
   

2. Nadat het opslagaccount is gemaakt, haalt u de verbindingsreeks voor het opslagaccount op in een variabele met az storage account show-connection-string. De verbindingsreeks wordt gebruikt om in een latere stap een bestandsshare te maken.

   saConnectionString=$(az storage account show-connection-string \
     --name $storageAcctName \
     --resource-group test-rg \
     --query 'connectionString' \
     --out tsv)
   

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer in Opslagaccounts het opslagaccount dat u in de vorige stap hebt gemaakt.

3. Selecteer Bestandsshares in Gegevensopslag.

4. Selecteer + Bestandsdeling.

5. Voer de volgende gegevens in of selecteer deze in nieuwe bestandsshare:

   Configuratie	Waarde
   Naam	Voer bestandsdeling in.
   Rang	Laat de standaardinstelling voor geoptimaliseerde transacties staan.

6. Kies Volgende: Back-up.

7. Deactiveer Back-up inschakelen.

8. Selecteer Beoordelen + creëren en selecteer daarna Creëren.

1. Maak een context voor uw opslagaccount en sleutel met New-AzStorageContext. De context bevat de naam van het opslagaccount en de accountsleutel:

   $storagecontext = @{
       StorageAccountName = $storageAcctName
       StorageAccountKey = $storageAcctKey
   }
   $storageContext = New-AzStorageContext @storagecontext
   

2. Maak een bestandsshare met New-AzStorageShare:

   $fs = @{
       Name = "file-share"
       Context = $storageContext
   }
   $share = New-AzStorageShare @fs
   

1. Maak een bestandsshare in het opslagaccount met az storage share create. In een latere stap wordt deze bestandsshare gekoppeld om de netwerktoegang te bevestigen.

   az storage share create \
     --name file-share \
     --quota 2048 \
     --connection-string $saConnectionString > /dev/null
   

Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk, inclusief internet. U kunt de netwerktoegang vanaf internet en alle andere subnetten in alle virtuele netwerken beperken (met uitzondering van het subnet-privésubnet in het virtuele vnet-1-netwerk .)

Netwerktoegang tot een subnet beperken:

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer uw opslagaccount.

3. Selecteer Netwerken in Beveiliging en netwerken.

4. Selecteer op het tabblad Firewalls en virtuele netwerken de optie Ingeschakeld in geselecteerde virtuele netwerken en IP-adressen in openbare netwerktoegang.

5. Selecteer + Bestaand virtueel netwerk toevoegen in virtuele netwerken.

6. In Netwerken toevoegen voert u de volgende informatie in of selecteert u deze:

   Configuratie	Waarde
   Abonnement	Selecteer uw abonnement.
   Virtuele netwerken	Selecteer vnet-1.
   Subnetten	Selecteer subnet-privé.

   

7. Selecteer Toevoegen.

8. Selecteer Opslaan om de configuraties van het virtuele netwerk op te slaan.

1. Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk. Als u de toegang tot geselecteerde netwerken wilt beperken, wijzigt u de standaardactie in Weigeren met Update-AzStorageAccountNetworkRuleSet. Zodra de netwerktoegang is geweigerd, is het opslagaccount niet toegankelijk vanuit een netwerk.

   $storagerule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       DefaultAction = "Deny"
   }
   Update-AzStorageAccountNetworkRuleSet @storagerule
   

2. Haal het gemaakte virtuele netwerk op met Get-AzVirtualNetwork en haal vervolgens het privésubnetobject op in een variabele met Get-AzVirtualNetworkSubnetConfig:

   $subnetpriv = @{
       ResourceGroupName = "test-rg"
       Name = "vnet-1"
   }
   $privateSubnet = Get-AzVirtualNetwork @subnetpriv | Get-AzVirtualNetworkSubnetConfig -Name "subnet-private"
   

3. Netwerktoegang tot het opslagaccount toestaan vanuit het subnet-privésubnet met Add-AzStorageAccountNetworkRule.

   $storagenetrule = @{
       ResourceGroupName = "test-rg"
       Name = $storageAcctName
       VirtualNetworkResourceId = $privateSubnet.Id
   }
   Add-AzStorageAccountNetworkRule @storagenetrule
   

1. Standaard accepteren opslagaccounts netwerkverbindingen van clients in ieder netwerk. Als u de toegang tot geselecteerde netwerken wilt beperken, wijzigt u de standaardactie in Weigeren met az storage account update. Zodra de netwerktoegang is geweigerd, is het opslagaccount niet toegankelijk vanuit een netwerk.

   az storage account update \
     --name $storageAcctName \
     --resource-group test-rg \
     --default-action Deny
   

2. Netwerktoegang tot het opslagaccount toestaan vanuit het subnet-privésubnet met az storage account network-rule add.

   az storage account network-rule add \
     --resource-group test-rg \
     --account-name $storageAcctName \
     --vnet-name vnet-1 \
     --subnet subnet-private
   

Als u de netwerktoegang tot een opslagaccount wilt testen, implementeert u een virtuele machine in elk subnet.

Virtuele testmachine maken

Met de volgende procedure maakt u een virtuele testmachine (VM) met de naam vm-1 in het virtuele netwerk.

1. Zoek en selecteer virtuele machines in de portal.

2. In virtuele machines selecteer + Maken, en daarna Azure virtuele machine.

3. Bij het maken van Een virtuele machine, voer de volgende gegevens in of selecteer deze op het tabblad Basisbeginselen.

   Configuratie	Waarde
   Projectdetails
   Abonnement	Selecteer uw abonnement.
   Resourcegroep	Selecteer test-rg.
   Instantiegegevens
   Naam van virtuele machine	Voer vm-1 in.
   Regio	Selecteer Oost-Amerika 2.
   Beschikbaarheidsopties	Selecteer Geen infrastructuurredundantie vereist.
   Beveiligingstype	Laat de standaardwaarde van Standard staan.
   Afbeelding	Selecteer Windows Server 2022 Datacenter - x64 Gen2.
   VM-architectuur	Laat de standaardwaarde x64 staan.
   Grootte	Selecteer een grootte.
   Beheerdersaccount
   Verificatietype	Selecteer Wachtwoord.
   Gebruikersnaam	Voer azureuser in.
   Wachtwoord	Voer een wachtwoord in.
   Wachtwoord bevestigen	Voer het wachtwoord opnieuw in.
   Regels voor binnenkomende poort
   Openbare poorten voor inkomend verkeer	Selecteer Geen.

4. Selecteer het tabblad Netwerken boven aan de pagina.

5. Voer de volgende gegevens in of selecteer deze op het tabblad Netwerken :

   Configuratie	Waarde
   Netwerkinterface
   Virtueel netwerk	Selecteer vnet-1.
   Subnetwerk	Selecteer subnet-1 (10.0.0.0/24).
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Geavanceerd.
   Netwerkbeveiligingsgroep configureren	Selecteer Nieuw maken. Voer nsg-1 in als naam. Laat de rest op de standaardwaarden staan en selecteer OK.

6. Laat de rest van de instellingen op de standaardwaarden staan en selecteer Beoordelen en maken.

7. Controleer de instellingen en selecteer Maken.

De tweede virtuele machine maken

1. Maak een tweede virtuele machine die de stappen in de vorige sectie herhaalt. Vervang de volgende waarden in Een virtuele machine maken:

   Configuratie	Waarde
   Naam van virtuele machine	Voer vm-privé in.
   Subnetwerk	Selecteer subnet-privé.
   Openbare IP	Selecteer Geen.
   NIC-netwerkbeveiligingsgroep	Selecteer Geen.

   Waarschuwing

   Ga pas verder met de volgende stap als de implementatie is voltooid.

De eerste virtuele machine maken

Maak een virtuele machine in het subnet-openbare subnet met New-AzVM. Wanneer u de volgende opdracht uitvoert, wordt u gevraagd om referenties. De waarden die u invoert, worden geconfigureerd als de gebruikersnaam en het wachtwoord voor de virtuele machine.

$vm1 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-public"
    Name = "vm-public"
    PublicIpAddressName  = $null
}
New-AzVm @vm1

De tweede virtuele machine maken

Maak een virtuele machine in het subnet-privésubnet :

$vm2 = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VirtualNetworkName = "vnet-1"
    SubnetName = "subnet-private"
    Name = "vm-private"
    PublicIpAddressName = $null
}
New-AzVm @vm2

Het duurt enkele minuten voordat Azure de virtuele machine heeft gemaakt. Ga pas verder met de volgende stap als Azure klaar is met het maken van de VIRTUELE machine en uitvoer retourneert naar PowerShell.

Implementeer een VM in elk subnet om de netwerktoegang tot een opslagaccount te testen.

De eerste virtuele machine maken

Maak een VIRTUELE machine in het subnet-openbare subnet met az vm create. Als SSH-sleutels niet al bestaan op de standaardsleutellocatie, worden ze met deze opdracht gemaakt. Als u een specifieke set sleutels wilt gebruiken, gebruikt u de optie --ssh-key-value.

az vm create \
  --resource-group test-rg \
  --name vm-public \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-public \
  --admin-username azureuser \
  --generate-ssh-keys

Het maken van de virtuele machine duurt een paar minuten. Nadat de VIRTUELE machine is gemaakt, toont de Azure CLI informatie die vergelijkbaar is met het volgende voorbeeld:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-public",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

De tweede virtuele machine maken

az vm create \
  --resource-group test-rg \
  --name vm-private \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-private \
  --admin-username azureuser \
  --generate-ssh-keys

Het maken van de virtuele machine duurt een paar minuten.

De virtuele machine die u eerder hebt gemaakt die is toegewezen aan het subnet-privésubnet , wordt gebruikt om de toegang tot het opslagaccount te bevestigen. De virtuele machine die u in de vorige sectie hebt gemaakt die is toegewezen aan het subnet-1-subnet , wordt gebruikt om te bevestigen dat de toegang tot het opslagaccount is geblokkeerd.

Toegangssleutel voor opslagaccount ophalen

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer uw opslagaccount in Opslagaccounts.

3. Selecteer toegangssleutels in Beveiliging en netwerken.

4. Kopieer de waarde van sleutel1. Mogelijk moet u de knop Weergeven selecteren om de sleutel weer te geven.

   

5. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

6. Selecteer vm-privé.

7. Selecteer Bastion in Bewerkingen.

8. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

9. Open het Windows PowerShell. Gebruik het volgende script om de Azure-bestandsshare toe te wijzen aan station Z.

   • Vervang <storage-account-key> door de sleutel die u in de vorige stap hebt gekopieerd.

   • Vervang <storage-account-name> door de naam van uw opslagaccount. In dit voorbeeld is opslag8675.

    $key = @{
        String = "<storage-account-key>"
    }
    $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
    $cred = @{
        ArgumentList = "Azure\<storage-account-name>", $acctKey
    }
    $credential = New-Object System.Management.Automation.PSCredential @cred
   
    $map = @{
        Name = "Z"
        PSProvider = "FileSystem"
        Root = "\\<storage-account-name>.file.core.windows.net\file-share"
        Credential = $credential
    }
    New-PSDrive @map
   

   PowerShell retourneert uitvoer die er ongeveer zo uitziet als in dit voorbeeld:

   Name        Used (GB)     Free (GB) Provider      Root
   ----        ---------     --------- --------      ----
   Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
   

   De Azure-bestandsshare is succesvol toegewezen aan station Z.

10. Sluit de Bastion-verbinding met vm-private.

De virtuele machine die u eerder hebt gemaakt die is toegewezen aan het subnet-privésubnet , wordt gebruikt om de toegang tot het opslagaccount te bevestigen. De virtuele machine die u in de vorige sectie hebt gemaakt die is toegewezen aan het subnet-1-subnet , wordt gebruikt om te bevestigen dat de toegang tot het opslagaccount is geblokkeerd.

Toegangssleutel voor opslagaccount ophalen

1. Meld u aan bij Azure Portal.

2. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

3. Selecteer uw opslagaccount in Opslagaccounts.

4. Selecteer toegangssleutels in Beveiliging en netwerken.

5. Kopieer de waarde van sleutel1. Mogelijk moet u de knop Weergeven selecteren om de sleutel weer te geven.

   

6. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

7. Selecteer vm-privé.

8. Selecteer Verbinding maken en vervolgens verbinding maken via Bastion in overzicht.

9. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

10. Open het Windows PowerShell. Gebruik het volgende script om de Azure-bestandsshare toe te wijzen aan station Z.

    • Vervang <storage-account-key> door de sleutel die u in de vorige stap hebt gekopieerd.

    • Vervang <storage-account-name> door de naam van uw opslagaccount. In dit voorbeeld is opslag8675.

     $key = @{
         String = "<storage-account-key>"
     }
     $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
    
     $cred = @{
         ArgumentList = "Azure\<storage-account-name>", $acctKey
     }
     $credential = New-Object System.Management.Automation.PSCredential @cred
    
     $map = @{
         Name = "Z"
         PSProvider = "FileSystem"
         Root = "\\<storage-account-name>.file.core.windows.net\file-share"
         Credential = $credential
     }
     New-PSDrive @map
    

    PowerShell retourneert uitvoer die er ongeveer zo uitziet als in dit voorbeeld:

    Name        Used (GB)     Free (GB) Provider      Root
    ----        ---------     --------- --------      ----
    Z                                      FileSystem    \\storage8675.file.core.windows.net\f...
    

    De Azure-bestandsshare is succesvol toegewezen aan station Z.

11. Controleer of de VIRTUELE machine geen uitgaande connectiviteit heeft met andere openbare IP-adressen:

    ping bing.com
    

    U ontvangt geen antwoorden omdat de netwerkbeveiligingsgroep die is gekoppeld aan het privésubnet geen uitgaande toegang toestaat tot andere openbare IP-adressen dan de adressen die zijn toegewezen aan de Azure Storage-service.

12. Sluit de Bastion-verbinding met vm-private.

SSH naar vm-private VM.

1. Voer de volgende opdracht uit om het IP-adres van de VIRTUELE machine op te slaan als een omgevingsvariabele:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-private --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Maak een map voor een koppelpunt:

   sudo mkdir /mnt/file-share
   

3. Koppel de Azure-bestandsshare aan de map die u hebt gemaakt. Voordat u de volgende opdracht uitvoert, vervangt u <storage-account-name> door de accountnaam en <storage-account-key> door de sleutel die u hebt opgehaald in Maak een opslagaccount.

   sudo mount --types cifs //<storage-account-name>.file.core.windows.net/my-file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   U hebt een user@vm-private:~$-prompt ontvangen. De Azure-bestandsshare is met succes gekoppeld aan /mnt/file-share.

4. Controleer of de VIRTUELE machine geen uitgaande connectiviteit heeft met andere openbare IP-adressen:

   ping bing.com -c 4
   

   U ontvangt geen antwoorden omdat de netwerkbeveiligingsgroep die is gekoppeld aan het subnet-privésubnet geen uitgaande toegang toestaat tot openbare IP-adressen dan de adressen die zijn toegewezen aan de Azure Storage-service.

5. Sluit de SSH-sessie af op de vm-privé-VM .

Van vm-1

1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

2. Kies vm-1.

3. Selecteer Bastion in Bewerkingen.

4. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

5. Herhaal het vorige commando om de schijf aan de bestandsdeling in het opslagaccount toe te wijzen. Mogelijk moet u de toegangssleutel van het opslagaccount opnieuw kopiëren voor deze procedure:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. U ontvangt het volgende foutbericht:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Sluit de Bastion-verbinding met vm-1.

Vanaf een lokale computer

1. Voer in het zoekvak boven aan de portal opslagaccount in. Selecteer Opslagaccounts in de zoekresultaten.

2. Selecteer uw opslagaccount in Opslagaccounts.

3. Selecteer Bestandsshares in Gegevensopslag.

4. Selecteer bestandsshare.

5. Selecteer Bladeren in het linkermenu.

6. U ontvangt het volgende foutbericht:

   

Van vm-1

1. Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.

2. Kies vm-1.

3. Selecteer Bastion in Bewerkingen.

4. Voer de gebruikersnaam en het wachtwoord in die u hebt opgegeven bij het maken van de virtuele machine. Selecteer Verbinding maken.

5. Herhaal het vorige commando om de schijf aan de bestandsdeling in het opslagaccount toe te wijzen. Mogelijk moet u de toegangssleutel van het opslagaccount opnieuw kopiëren voor deze procedure:

   $key = @{
       String = "<storage-account-key>"
   }
   $acctKey = ConvertTo-SecureString @key -AsPlainText -Force
   
   $cred = @{
       ArgumentList = "Azure\<storage-account-name>", $acctKey
   }
   $credential = New-Object System.Management.Automation.PSCredential @cred
   
   $map = @{
       Name = "Z"
       PSProvider = "FileSystem"
       Root = "\\<storage-account-name>.file.core.windows.net\file-share"
       Credential = $credential
   }
   New-PSDrive @map
   

6. U ontvangt het volgende foutbericht:

   New-PSDrive : Access is denied
   At line:1 char:5
   +     New-PSDrive @map
   +     ~~~~~~~~~~~~~~~~
       + CategoryInfo          : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception
       + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
   

7. Sluit de Bastion-verbinding met vm-1.

8. Probeer vanaf uw computer de bestandsshares in het opslagaccount weer te geven met de volgende opdracht:

   $storage = @{
       ShareName = "file-share"
       Context = $storageContext
   }
   Get-AzStorageFile @storage
   

   Toegang wordt geweigerd. U ontvangt een uitvoer die vergelijkbaar is met het volgende voorbeeld.

    Get-AzStorageFile : The remote server returned an error: (403) Forbidden. HTTP Status Code: 403 - HTTP Error Message: This request isn't authorized to perform this operation
   

   Uw computer bevindt zich niet in het subnet-privésubnet van het virtuele vnet-1-netwerk .

SSH naar de vm-openbare VM.

1. Voer de volgende opdracht uit om het IP-adres van de VIRTUELE machine op te slaan als een omgevingsvariabele:

   export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-public --query publicIps --output tsv)
   
   ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS
   

2. Maak een directory voor een koppelpunt.

   sudo mkdir /mnt/file-share
   

3. Probeer de Azure-bestandsshare te koppelen aan de map die u hebt gemaakt. In dit artikel wordt ervan uitgegaan dat u de nieuwste versie van Ubuntu hebt geïmplementeerd. Als u eerdere versies van Ubuntu gebruikt, raadpleeg Hulpmiddelen voor koppelen op Linux voor meer instructies over het aankoppelen van bestandsgedeelten. Voordat u de volgende opdracht uitvoert, vervangt u <storage-account-name> door de accountnaam en <storage-account-key> door de sleutel die u hebt opgehaald in Maak een opslagaccount aan:

   sudo mount --types cifs //storage-account-name>.file.core.windows.net/file-share /mnt/file-share --options vers=3.0,username=<storage-account-name>,password=<storage-account-key>,dir_mode=0777,file_mode=0777,serverino
   

   De toegang wordt geweigerd en u krijgt een mount error(13): Permission denied foutmelding, omdat de vm-openbare VM is geïmplementeerd in het subnet-openbare subnet. Het subnet-openbare subnet heeft geen service-eindpunt ingeschakeld voor Azure Storage en het opslagaccount staat alleen netwerktoegang toe vanuit het subnet-privésubnet , niet het subnet-openbare subnet.

4. Sluit de SSH-sessie af op de vm-openbare VM.

5. Probeer vanaf uw computer de shares in uw opslagaccount te bekijken met az storage share list. Vervang <account-name> en <account-key> door de naam en sleutel van het opslagaccount uit Een opslagaccount maken:

   az storage share list \
     --account-name <account-name> \
     --account-key <account-key>
   

   De toegang wordt geweigerd en u ontvangt een Deze aanvraag is niet gemachtigd om deze bewerking uit te voeren fout, omdat uw computer zich niet in het subnet-private subnet van het vnet-1 virtuele netwerk bevindt.

Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen.

1. Zoek en selecteer Resourcegroepen in de Azure-portal.

2. Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .

3. Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.

4. Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.

U kunt de opdracht Remove-AzResourceGroup gebruiken om de resourcegroep en alle resources die deze bevat te verwijderen, wanneer u deze niet meer nodig hebt:

$cleanup = @{
  Name  = "test-rg"
}
Remove-AzResourceGroup @cleanup -Force

De hulpbronnen opschonen

Wanneer u deze niet meer nodig hebt, gebruikt u az group delete om de resourcegroep en alle resources die deze bevat te verwijderen.

az group delete \
    --name test-rg \
    --yes \
    --no-wait