Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Vorlage "Administrator-VM" erstellt einen virtuellen Computer im Verwaltungssubnetz, sodass Sie sicher auf die Enklavenressourcen zugreifen können. Diese Art von VM wird auch als Jumpbox bezeichnet, da sie es Ihnen ermöglicht, in das isolierte Netzwerk zu springen.
In diesem Artikel erfahren Sie:
- Stellen Sie eine Dienstkatalogvorlage für eine Administrator-VM in einer vorhandenen Workload aus dem Portal bereit.
Note
Diese Beispielbereitstellung dient nur zu Demonstrationszwecken und stellt nicht alle bewährten Methoden für die Verwaltung von Netzwerken, Systemen oder Anwendungen dar.
Bereitstellungsoptionen
Die Vorlage für den virtuellen Administratorcomputer kann in mehreren Konfigurationen bereitgestellt werden:
- Virtueller Computer (~10 Min.)
- Virtuelle Maschine, in die Domäne eingebunden (~12 Min.)
Bevor Sie anfangen
Diese Schnellstartanleitung setzt ein grundlegendes Verständnis von Netzwerk- und Azure Enklavenkonzepten voraus. Weitere Informationen finden Sie unter Konzepte und bewährte Methoden von Azure Enklave.
Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie kein Konto besitzen, erstellen Sie kostenlos ein Konto.
Sie benötigen eine Community, Enklave, Workload und mindestens eine Workload-Ressourcengruppe und Berechtigungen zum Erstellen von Ressourcen innerhalb der Workload-Ressourcengruppe.
Aktivieren Sie
Advancedden Wartungsmodus für Ihre Enklave, damit Sie die Private Link Ressourcen zu Ihrer verwalteten Ressourcengruppe hinzufügen können.
Voraussetzungen
Für die Enklaven gelten Schutzvorgaben, um sicherzustellen, dass die Ressourcen in den Enklaven mit kundenseitig verwalteten Schlüsseln (CMK) verschlüsselt werden. Dies erfordert einen Schlüssel und eine Identität, um auf den Schlüssel zuzugreifen, der in der Enklave zugänglich ist. Erstellen Sie den CMK (optionaler Key Vault) und die verwaltete Identität in der Dienstkatalogvorlage „Allgemeine Abhängigkeiten“
- Subnetz für private Endpunkte: Sie hatten die Möglichkeit, Subnetze während der Enklavenerstellung zu erstellen, oder Sie können nach der Erstellung von Enklaven neue Subnetze erstellen . Das subnetz des privaten Endpunkts sollte keine Subnetzdelegierung haben, damit die privaten Endpunkte ordnungsgemäß funktionieren.
- Erstellen Sie diese Privates DNS Zonen schnell basierend auf dem, was Sie als Nächstes erstellen:
-
Key VaultErforderlich beim Erstellen einer Key Vault aus dieser Vorlage oder der anpassbareren Key Vault Vorlage. -
Storage File,Storage Queue,Storage BlobundStorage Tablesind erforderlich, wenn Sie ein Speicherkonto aus dieser Vorlage oder die anpassbarere Speicherkontovorlage erstellen.
-
- Für diese Vorlage sind Key Vault, vom Kunden verwalteter Schlüssel (Customer Managed Key, CMK) und verwaltete Identität erforderlich. Erstellen Sie einen Key Vault, einen CMK und eine verwaltete Identität im Schnellstart des Dienstkatalogs „Common Dependencies“, oder erstellen Sie eigene.
- Diese Ressourcen sollten in einer Ressourcengruppe für Workloads erstellt werden.
- Stellen Sie nach dem Erstellen der vom Benutzer verwalteten Identität sicher, dass sie Zugriff auf den CMK-Schlüssel hat.
- Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die
Key Vault Crypto Service Encryption UserRBAC-Rolle gemäß diesen Anweisungen zu. Mit dieser Rolle können Sie dann die verwaltete Identität einer anderen Ressource, z. B. einem virtuellen Computer, zuweisen, und dieser virtuelle Computer kann den Betriebssystemdatenträger mit dem CMK im Schlüsseltresor mit geringsten Berechtigungen verschlüsseln.
- Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die
- (optional) Eine vorhandene Domäne, der die Admin-VM beitreten soll, wenn die Admin-VM in eine Domäne aufgenommen wird.
Implementieren der Vorlage
- Navigieren Sie zum Workload für die vorgesehene Bereitstellung.
-
+Add an Azure ServiceSchaltfläche auswählen. - Wählen Sie die
Admin VMDienstvorlage aus der Dropdownliste des Dienstkatalogs aus. Bestätigen Sie die benötigte Version (Standard:latest) und wählen SieNextdann aus.
- Geben Sie alle erforderlichen Parameter auf den einzelnen Registerkarten ein.
- Geben Sie für
OS Disk Encryption NameundOS Disk Encryption Resource Group Name, die Namen, die im Abschnitt "Voraussetzungen" verwendet werden, ein. - Passen Sie die vorab aufgefüllten Parameter nach Bedarf an.
- Wenn alle Validierungen erfolgreich waren, wählen Sie
Review + Createaus, dannCreate
Validierung der Bereitstellung
Wechseln Sie zur angegebenen Ressourcengruppe, um zu bestätigen, dass die vorgesehenen Ressourcen erstellt wurden. Einschließlich: VM, Betriebssystemdatenträger, NIC.
Herstellen einer Verbindung mit dem virtuellen Computer
Über die Administrator-VM: Die Administrator-VM wird für den Administratorzugriff auf die Ressourcen innerhalb der Enklavengrenze von außerhalb der Grenze verwendet. Der virtuelle Administratorcomputer kann auch als "Jumpbox" bezeichnet werden.
- Melden Sie sich bei einer Desktopsitzung auf dem virtuellen Administratorcomputer an.
- Geben Sie
RDPim Startmenü ein, und öffnen Sie das RDP-Fenster. - Geben Sie die IP-Adresse des virtuellen Computers als Ziel-IP-Adresse für die RDP-Verbindung ein.
- Geben Sie die Anmeldeinformationen für den virtuellen Computer ein, und wählen Sie
Accept/Yesaus, um Warnungen zu einer neuen Verbindung zu erhalten. - Überprüfen Sie auf dem Desktop des virtuellen Computers alle VM-Einstellungen, die während der Bereitstellung festgelegt wurden, oder führen Sie eine benutzerdefinierte Konfiguration aus.
- Weisen Sie eine Sicherheitsgruppenzuweisung zu, um Benutzern Zugriff auf Ihren virtuellen Computer zu gewähren. Beginnen Sie andernfalls mit der Verwendung des virtuellen Computers.
Löschen der Bereitstellung
Wenn Sie nicht planen, diese Ressourcen beizubehalten, bereinigen Sie unnötige Ressourcen, um Azure Gebühren zu vermeiden. Wenn in der Ressourcengruppe keine anderen Bereitstellungen vorhanden sind, kann die gesamte Ressourcengruppe gelöscht werden.
Empfehlungen
- Sitzungshost oder VM-Größenanpassung
-
Fügen Sie Tags zu Dienstkatalogbereitstellungen hinzu, um wichtige Informationen für diese Ressource nachzuverfolgen, z. B.:
- Besitzer:
<main POC> - Bereitsteller:
<yourName> - Zweck:
<enclave administration> - Dienstkatalogname:
<Admin VM> - Version des Dienstkatalogs:
<version you deployed>
- Besitzer:
- Erwägen Sie das Hinzufügen einer Azure Policy zum Erzwingen und Vererben von Tags
- Benutzerdefinierte Protokolle aus Anwendungen sammeln