通过使用 Azure 门户为 Azure Key Vault 创建网络安全外围,开始使用网络安全外围。 网络安全外围允许 Azure PaaS (PaaS)资源在显式受信任的边界内进行通信。 接下来,在网络安全外围配置文件中创建和更新 PaaS 资源关联。 然后,创建和更新网络安全外围访问规则。 完成后,请删除在本快速入门中创建的所有资源。
先决条件
在开始之前,请确保具有以下各项:
- 具有活动订阅和 Azure 门户访问权限的 Azure 帐户。 如果还没有 Azure 帐户, 请创建一个试用订阅。
登录 Azure 门户
使用 Azure 帐户登录到 Azure 门户。
创建资源组和密钥保管库
在创建网络安全外围之前,请创建一个资源组来保存所有资源和受网络安全外围保护的密钥保管库。
注释
Azure Key Vault 需要唯一的名称。 如果收到名称已在使用的错误,请尝试其他名称。 在我们的示例中,我们将 Year(YYYYY)、Month(MM)和 Day (DD)追加到名称 - key-vault-YYYYDMM,从而使用唯一的名称。
在门户顶部的搜索框中,输入 密钥保管库。 在搜索结果中选择 Key Vault 。
在显示的 Key Vault 帐户窗口中,选择“ + 创建”。
在 “创建密钥保管库 ”窗口中,输入以下信息:
设置 价值 Subscription 选择要用于此密钥保管库的订阅。 资源组 选择“ 新建”,然后输入 资源组 作为名称。 密钥保管库名称 输入 key-vault- <RandomNameInformation>。区域 选择要在其中创建密钥保管库的区域。 在本快速入门中,使用 (亚太)中国东部 2 。 保留其余默认设置,然后选择“查看 + 创建>”。
创建网络安全外围
创建密钥保管库后,可以继续创建网络安全外围。
注释
对于组织和信息安全,建议不要在网络安全外围规则或其他网络安全外围配置中包含 任何个人身份或敏感数据 。
在 Azure 门户的搜索框中,输入 网络安全外围。 从搜索结果中选择 网络安全外围 。
在 “网络安全外围 ”窗口中,选择“ + 创建”。
在 “创建网络安全外围 ”窗口中,输入以下信息:
设置 价值 Subscription 选择要用于此网络安全外围的订阅。 资源组 选择 资源组。 Name 输入 网络安全外围。 区域 选择要在其中创建网络安全外围的区域。 在本快速入门中,使用 (亚太)中国东部 2 。 配置文件名称 输入 profile-1。 选择“ 资源 ”选项卡或 “下一 步”以继续执行下一步。
在“ 资源 ”选项卡中,选择“ + 添加”。
在 “选择资源 ”窗口中,选中 key-vault-YYYYDDMM ,然后选择 “选择”。
选择 “入站访问规则 ”,然后选择“ + 添加”。
在 “添加入站访问规则 ”窗口中,输入以下信息,然后选择“ 添加:
Settings 价值 规则名称 输入 入站规则。 源类型 选择 IP 地址范围。 允许的源 输入要允许入站流量的公共 IP 地址范围。 选择 “出站访问规则 ”,然后选择“ + 添加”。
在 “添加出站访问规则 ”窗口中,输入以下信息,然后选择“ 添加:
Settings 价值 规则名称 输入 出站规则。 目标类型 选择 FQDN。 允许的目标 输入要允许的目标的 FQDN。 例如, www.contoso.com。选择 “查看 + 创建 ”,然后选择 “创建”。
选择 “转到”资源 以查看新创建的网络安全外围。
注释
如果未将托管标识分配给支持托管标识的资源,则会拒绝对同一外围中的其他资源的出站访问。 用于允许从此资源访问的基于订阅的入站规则不会生效。
删除网络安全外围
不再需要网络安全外围和关联的资源时,可以删除包含网络安全外围和所有关联资源的资源组。 此作将删除网络安全外围及其中的所有资源。
在 Azure 门户中,从左侧菜单中选择 资源组 。
从资源组列表中选择资源组。
在 资源组 窗口中,从作栏中选择 “删除资源组 ”。
在 “删除资源组 ”窗口中,输入资源组的名称以确认删除。
选择 “删除” 以删除资源组及其中的所有资源。
验证资源组不再在“ 资源组” 窗口中列出。
注释
从网络安全外围删除资源关联会导致访问控制回退到现有资源防火墙配置。 这可能会导致根据资源防火墙配置允许/拒绝访问。 如果 PublicNetworkAccess 设置为 SecuredByPerimeter 并已删除关联,则资源将进入锁定状态。 有关详细信息,请参阅 过渡到 Azure 中的网络安全外围。