Bereitstellen eines virtuellen Administratorcomputers (VM) aus dem Dienstkatalog in einer Workload

Die Vorlage "Administrator-VM" erstellt einen virtuellen Computer im Verwaltungssubnetz, sodass Sie sicher auf die Enklavenressourcen zugreifen können. Diese Art von VM wird auch als Jumpbox bezeichnet, da sie es Ihnen ermöglicht, in das isolierte Netzwerk zu springen.

In diesem Artikel erfahren Sie:

  • Stellen Sie eine Dienstkatalogvorlage für eine Administrator-VM in einer vorhandenen Workload aus dem Portal bereit.

Note

Diese Beispielbereitstellung dient nur zu Demonstrationszwecken und stellt nicht alle bewährten Methoden für die Verwaltung von Netzwerken, Systemen oder Anwendungen dar.

Bereitstellungsoptionen

Die Vorlage für den virtuellen Administratorcomputer kann in mehreren Konfigurationen bereitgestellt werden:

  1. Virtueller Computer (~10 Min.)
  2. Virtuelle Maschine, in die Domäne eingebunden (~12 Min.)

Bevor Sie anfangen

Voraussetzungen

Für die Enklaven gelten Schutzvorgaben, um sicherzustellen, dass die Ressourcen in den Enklaven mit kundenseitig verwalteten Schlüsseln (CMK) verschlüsselt werden. Dies erfordert einen Schlüssel und eine Identität, um auf den Schlüssel zuzugreifen, der in der Enklave zugänglich ist. Erstellen Sie den CMK (optionaler Key Vault) und die verwaltete Identität in der Dienstkatalogvorlage „Allgemeine Abhängigkeiten“

  1. Subnetz für private Endpunkte: Sie hatten die Möglichkeit, Subnetze während der Enklavenerstellung zu erstellen, oder Sie können nach der Erstellung von Enklaven neue Subnetze erstellen . Das subnetz des privaten Endpunkts sollte keine Subnetzdelegierung haben, damit die privaten Endpunkte ordnungsgemäß funktionieren.
  2. Erstellen Sie diese Privates DNS Zonen schnell basierend auf dem, was Sie als Nächstes erstellen:
    • Key VaultErforderlich beim Erstellen einer Key Vault aus dieser Vorlage oder der anpassbareren Key Vault Vorlage.
    • Storage File, Storage Queue, Storage Blobund Storage Table sind erforderlich, wenn Sie ein Speicherkonto aus dieser Vorlage oder die anpassbarere Speicherkontovorlage erstellen.
  3. Für diese Vorlage sind Key Vault, vom Kunden verwalteter Schlüssel (Customer Managed Key, CMK) und verwaltete Identität erforderlich. Erstellen Sie einen Key Vault, einen CMK und eine verwaltete Identität im Schnellstart des Dienstkatalogs „Common Dependencies“, oder erstellen Sie eigene.
    • Diese Ressourcen sollten in einer Ressourcengruppe für Workloads erstellt werden.
    • Stellen Sie nach dem Erstellen der vom Benutzer verwalteten Identität sicher, dass sie Zugriff auf den CMK-Schlüssel hat.
      • Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die Key Vault Crypto Service Encryption User RBAC-Rolle gemäß diesen Anweisungen zu. Mit dieser Rolle können Sie dann die verwaltete Identität einer anderen Ressource, z. B. einem virtuellen Computer, zuweisen, und dieser virtuelle Computer kann den Betriebssystemdatenträger mit dem CMK im Schlüsseltresor mit geringsten Berechtigungen verschlüsseln.
  4. (optional) Eine vorhandene Domäne, der die Admin-VM beitreten soll, wenn die Admin-VM in eine Domäne aufgenommen wird.

Implementieren der Vorlage

  1. Navigieren Sie zum Workload für die vorgesehene Bereitstellung.
  2. +Add an Azure Service Schaltfläche auswählen.
  3. Wählen Sie die Admin VM Dienstvorlage aus der Dropdownliste des Dienstkatalogs aus. Bestätigen Sie die benötigte Version (Standard: latest) und wählen Sie Nextdann aus.

Screenshot mit der in der Liste ausgewählten Admin-VM des Dienstkatalogs.

  1. Geben Sie alle erforderlichen Parameter auf den einzelnen Registerkarten ein.
  2. Geben Sie für OS Disk Encryption Name und OS Disk Encryption Resource Group Name, die Namen, die im Abschnitt "Voraussetzungen" verwendet werden, ein.
  3. Passen Sie die vorab aufgefüllten Parameter nach Bedarf an.
  4. Wenn alle Validierungen erfolgreich waren, wählen Sie Review + Create aus, dann Create

Validierung der Bereitstellung

Wechseln Sie zur angegebenen Ressourcengruppe, um zu bestätigen, dass die vorgesehenen Ressourcen erstellt wurden. Einschließlich: VM, Betriebssystemdatenträger, NIC.

Herstellen einer Verbindung mit dem virtuellen Computer

Über die Administrator-VM: Die Administrator-VM wird für den Administratorzugriff auf die Ressourcen innerhalb der Enklavengrenze von außerhalb der Grenze verwendet. Der virtuelle Administratorcomputer kann auch als "Jumpbox" bezeichnet werden.

  1. Melden Sie sich bei einer Desktopsitzung auf dem virtuellen Administratorcomputer an.
  2. Geben Sie RDPim Startmenü ein, und öffnen Sie das RDP-Fenster.
  3. Geben Sie die IP-Adresse des virtuellen Computers als Ziel-IP-Adresse für die RDP-Verbindung ein.
  4. Geben Sie die Anmeldeinformationen für den virtuellen Computer ein, und wählen Sie Accept/Yes aus, um Warnungen zu einer neuen Verbindung zu erhalten.
  5. Überprüfen Sie auf dem Desktop des virtuellen Computers alle VM-Einstellungen, die während der Bereitstellung festgelegt wurden, oder führen Sie eine benutzerdefinierte Konfiguration aus.
  6. Weisen Sie eine Sicherheitsgruppenzuweisung zu, um Benutzern Zugriff auf Ihren virtuellen Computer zu gewähren. Beginnen Sie andernfalls mit der Verwendung des virtuellen Computers.

Löschen der Bereitstellung

Wenn Sie nicht planen, diese Ressourcen beizubehalten, bereinigen Sie unnötige Ressourcen, um Azure Gebühren zu vermeiden. Wenn in der Ressourcengruppe keine anderen Bereitstellungen vorhanden sind, kann die gesamte Ressourcengruppe gelöscht werden.

Empfehlungen