通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

快速入门: 创建网络安全外围 - Azure 门户

要开始使用网络安全外围,首先使用 Azure 门户 为 Azure Key Vault 创建网络安全外围。 网络安全外围允许 Azure 平台即服务 (PaaS) 资源在显式受信任的边界内进行通信。 接下来,在网络安全外围配置文件中创建和更新 PaaS 资源的关联。 然后创建并更新网络安全外围访问规则。 完成后,删除在本快速入门中创建的所有资源。

重要

网络安全外围处于公共预览状态,可在所有 Azure 公有云区域中使用。 此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款

先决条件

在开始之前,请确保具有以下各项:

  • 具有活动订阅和 Azure 门户访问权限的 Azure 帐户。 如果还没有 Azure 帐户,可以免费创建帐户

登录到 Azure 门户

使用 Azure 帐户登录到 Azure 门户

创建资源组和 Key Vault

在创建网络安全外围之前,请创建一个资源组来保存所有资源和受网络安全外围保护的密钥保管库。

注意

Azure Key Vault 需要唯一的名称。 如果收到错误,表示该名称已被使用,请尝试其他名称。 在本示例中,我们通过以下方式使用唯一的名称: 将年(YYYY)、月(MM)和日(DD)添加到名称中 - key-vault-YYYYDDMM

  1. 在门户顶部的搜索框中,输入“密钥保管库”。 在搜索结果中选择“密钥保管库”

  2. 在显示的密钥保管库帐户窗口中,选择“+ 创建”

  3. 在“创建密钥保管库”页中,输入以下信息:

    设置
    订阅 选择要用于此密钥保管库的订阅。
    资源组 选择“新建”,然后输入“resource-group”作为名称
    密钥保管库名称 输入“key-vault-”<RandomNameInformation>
    区域 选择要在其中创建密钥保管库的区域。 在本快速入门中,使用的是“(美国)美国中西部”

  4. 保留其余默认设置,然后选择“查看 + 创建”>“创建”

创建网络安全外围

创建密钥保管库后,可以继续创建网络安全外围。

注意

对于组织和信息安全,建议不要在网络安全外围规则或其他网络安全外围配置中添加任何个人身份信息或敏感数据

  1. 在 Azure 门户的搜索框中,输入“网络安全外围”。 从搜索结果中选择“网络安全外围”

  2. 在“网络安全外围”窗口中,选择“+ 创建”

  3. 在“创建网络安全外围”窗口中,输入以下信息:

    设置
    订阅 选择要用于此网络安全外围的订阅。
    资源组 选择“resource-group”
    名称 输入“网络安全外围”
    区域 选择要在其中创建网络安全外围的区域。 在本快速入门中,使用的是“(美国)美国中西部”
    配置文件名称 输入 profile-1

  4. 选择“资源”选项卡或“下一步”继续执行下一步。

  5. 在“资源”页上,选择“+ 添加”

  6. 在“选择资源”窗口中,选中“key-vault-YYYYDDMM”,然后选择“选择”

  7. 选择“入站访问规则”,然后选择“+ 添加”

  8. 在“添加入站访问规则”窗口中,输入以下信息,然后选择“添加”:

    设置
    规则名称 输入 inbound-rule
    源类型 选择 IP 地址范围。
    允许的源 输入要允许来自哪个公共 IP 地址范围的入站流量。

  9. 选择“出站访问规则”,然后选择“+ 添加”

  10. 在“添加出站访问规则”窗口中,输入以下信息,然后选择“添加”:

    设置
    规则名称 输入 outbound-rule
    目标类型 选择“FQDN”
    允许的目标 输入要允许的目标的 FQDN。 例如,www.contoso.com

  11. 选择“查看 + 创建”,然后选择“创建” 。

  12. 选择“转到资源”以查看新创建的网络安全外围。

注意

如果托管标识未分配给支持它的资源,则对同一边界内其他资源的出站访问将被拒绝。 基于订阅的入站规则(旨在允许来自该资源的访问)将不会生效。

删除网络安全外围

不再需要网络安全外围和关联的资源时,可以删除包含网络安全外围和所有关联资源的资源组。 此操作将删除整个网络安全边界及其中的所有资源。

  1. 在 Azure 门户中,从左侧菜单中选择 资源组
  2. 从资源组列表中选择资源组。
  3. 资源组 窗口中,从作栏中选择 “删除资源组 ”。
  4. “删除资源组 ”窗口中,输入资源组的名称以确认删除。
  5. 选择 “删除” 以删除资源组及其中的所有资源。
  6. 验证“资源组”窗口中不再列出该资源组。

注意

从网络安全外围删除资源关联会导致访问控制回退到现有资源防火墙配置。 这可能会导致根据资源防火墙配置允许/拒绝访问。 如果 PublicNetworkAccess 设置为 SecuredByPerimeter 并已删除关联,则资源将进入锁定状态。 有关详细信息,请参阅在 Azure 中过渡到网络安全外围

后续步骤

Azure 网络安全外围的诊断日志记录