Konfigurace skupiny zabezpečení sítě pro systémy souborů Azure Managed Lustre
Skupiny zabezpečení sítě je možné nakonfigurovat tak, aby filtrovaly příchozí a odchozí síťový provoz do a z prostředků Azure ve virtuální síti Azure. Skupina zabezpečení sítě může obsahovat pravidla zabezpečení, která filtrují síťový provoz podle IP adresy, portu a protokolu. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla zabezpečení se použijí na prostředky nasazené v této podsíti.
Tento článek popisuje, jak nakonfigurovat pravidla skupiny zabezpečení sítě pro zabezpečení přístupu ke clusteru systému souborů Spravované lustre Azure jako součást strategie nulová důvěra (Zero Trust).
Požadavky
- Předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
- Virtuální síť s podsítí nakonfigurovanou tak, aby umožňovala podporu systému souborů Lustre spravované služby Azure. Další informace najdete v tématu Požadavky na sítě.
- Systém souborů Azure Managed Lustre nasazený ve vašem předplatném Azure. Další informace najdete v tématu Vytvoření systému souborů Lustre spravovaného Azure.
Vytvoření a konfigurace skupiny zabezpečení sítě
K filtrování síťového provozu mezi prostředky Azure ve virtuální síti Azure můžete použít skupinu zabezpečení sítě Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure. Pro každé pravidlo můžete určit zdroj a cíl, port a protokol.
Pokud chcete vytvořit skupinu zabezpečení sítě na webu Azure Portal, postupujte takto:
Do vyhledávacího pole v horní části portálu zadejte skupinu zabezpečení sítě. Ve výsledcích hledání vyberte skupiny zabezpečení sítě.
Vyberte + Vytvořit.
Na stránce Vytvořit skupinu zabezpečení sítě na kartě Základy zadejte nebo vyberte následující hodnoty:
Nastavení Akce Podrobnosti projektu Předplatné Vyberte své předplatné Azure. Skupina zdrojů Vyberte existující skupinu prostředků nebo vytvořte novou výběrem možnosti Vytvořit novou. Tento příklad používá skupinu prostředků sample-rg . Podrobnosti o instanci Název skupiny zabezpečení sítě Zadejte název skupiny zabezpečení sítě, kterou vytváříte. Oblast Vyberte požadovanou oblast. 
Vyberte Zkontrolovat a vytvořit.
Jakmile se zobrazí zpráva Ověření proběhlo úspěšně , vyberte Vytvořit.
Přidružení skupiny zabezpečení sítě k podsíti
Po vytvoření skupiny zabezpečení sítě ji můžete přidružit k jedinečné podsíti ve vaší virtuální síti, ve které existuje systém souborů Azure Managed Lustre. Pokud chcete skupinu zabezpečení sítě přidružit k podsíti pomocí webu Azure Portal, postupujte takto:
Do vyhledávacího pole v horní části portálu zadejte skupinu zabezpečení sítě a ve výsledcích hledání vyberte Skupiny zabezpečení sítě.
Vyberte název skupiny zabezpečení sítě a pak vyberte Podsítě.
Pokud chcete k podsíti přidružit skupinu zabezpečení sítě, vyberte + Přidružit, pak vyberte virtuální síť a podsíť, ke které chcete přidružit skupinu zabezpečení sítě. Vyberte OK.
Konfigurace pravidel skupin zabezpečení sítě
Pokud chcete nakonfigurovat pravidla skupiny zabezpečení sítě pro podporu systému souborů Azure Managed Lustre, můžete do skupiny zabezpečení sítě přidružené k podsíti, ve které je nasazen systém souborů Azure Managed Lustre, přidat příchozí a odchozí pravidla zabezpečení. Následující části popisují, jak vytvořit a nakonfigurovat příchozí a odchozí pravidla zabezpečení, která umožňují podporu systému souborů Azure Managed Lustre.
Poznámka:
Pravidla zabezpečení uvedená v této části se konfigurují na základě testovacího nasazení systému souborů Azure Managed Lustre v oblasti USA – východ s povolenou integrací služby Blob Storage. Budete muset upravit pravidla podle oblasti nasazení, IP adresy podsítě virtuální sítě a dalších nastavení konfigurace pro systém souborů Azure Managed Lustre.
Vytvoření příchozích pravidel zabezpečení
Příchozí pravidla zabezpečení můžete vytvořit na webu Azure Portal. Následující příklad ukazuje, jak vytvořit a nakonfigurovat nové příchozí pravidlo zabezpečení:
- Na webu Azure Portal otevřete prostředek skupiny zabezpečení sítě, který jste vytvořili v předchozím kroku.
- V části Nastavení vyberte Příchozí pravidla zabezpečení.
- Vyberte + Přidat.
- V podokně Přidat příchozí pravidlo zabezpečení nakonfigurujte nastavení pravidla a vyberte Přidat.
Do skupiny zabezpečení sítě přidejte následující příchozí pravidla:
| Priorita | Název | Porty | Protokol | Zdroj | Cíl | Akce | Popis |
|---|---|---|---|---|---|---|---|
| 110 | rule-name | Všechny | Všechny | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | Povolit | Povolte protokol nebo toky portů mezi hostiteli v podsíti systému souborů Azure Managed Lustre. Systém například pro počáteční nasazení a konfiguraci používá port TCP 22 (SSH). |
| 111 | rule-name | 988, 1019-1023 | TCP | Rozsah IP adres /CIDR pro podsíť klienta Lustre | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | Povolit | Povolte komunikaci mezi podsítí klienta Lustre a podsítím systému souborů Azure Managed Lustre. Povoluje pouze porty TCP 988 a 1019-1023 ve zdroji a cíli. |
| 112 | rule-name | Všechny | TCP | AzureMonitor |
VirtualNetwork |
Povolit | Povolte příchozí toky ze značky služby AzureMonitor. Povolte pouze zdrojový port TCP 443. |
| 120 | rule-name | Všechny | Všechny | Všechny | Všechny | Odepřít | Odepřít všechny ostatní příchozí toky. |
Příchozí pravidla zabezpečení na webu Azure Portal by měla vypadat podobně jako na následujícím snímku obrazovky. Snímek obrazovky je k dispozici jako příklad; projděte si tabulku s úplným seznamem pravidel. V závislosti na vašem nasazení byste měli upravit rozsah IP adres podsítě nebo rozsah CIDR a další nastavení:
Vytvoření pravidel zabezpečení odchozích přenosů
Pravidla zabezpečení odchozích přenosů můžete vytvořit na webu Azure Portal. Následující příklad ukazuje, jak vytvořit a nakonfigurovat nové odchozí pravidlo zabezpečení:
- Na webu Azure Portal otevřete prostředek skupiny zabezpečení sítě, který jste vytvořili v předchozím kroku.
- V části Nastavení vyberte Odchozí pravidla zabezpečení.
- Vyberte + Přidat.
- V podokně Přidat odchozí pravidlo zabezpečení nakonfigurujte nastavení pravidla a vyberte Přidat.
Do skupiny zabezpečení sítě přidejte následující pravidla odchozích přenosů:
| Priorita | Název | Porty | Protokol | Zdroj | Cíl | Akce | Popis |
|---|---|---|---|---|---|---|---|
| 100 | rule-name | 443 | TCP | VirtualNetwork |
AzureMonitor |
Povolit | Povolte odchozí toky na AzureMonitor značku služby. Pouze cílový port TCP 443. |
| 101 | rule-name | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Povolit | Povolte odchozí toky na AzureKeyVault.EastUS značku služby. Pouze cílový port TCP 443. |
| 102 | rule-name | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Povolit | Povolte odchozí toky na AzureActiveDirectory značku služby. Pouze cílový port TCP 443. |
| 103 | rule-name | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Povolit | Povolte odchozí toky na Storage.EastUS značku služby. Pouze cílový port TCP 443. |
| 104 | rule-name | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Povolit | Povoluje odchozí toky do značky GuestAndHybridManagement služby. Pouze cílový port TCP 443. |
| 105 | rule-name | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Povolit | Povolte odchozí toky na ApiManagement.EastUS značku služby. Pouze cílový port TCP 443. |
| 106 | rule-name | 443 | TCP | VirtualNetwork |
AzureDataLake |
Povolit | Povolte odchozí toky na AzureDataLake značku služby. Pouze cílový port TCP 443. |
| 107 | rule-name | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Povolit | Povoluje odchozí toky do značky AzureResourceManager služby. Pouze cílový port TCP 443. |
| 108 | rule-name | 988, 1019-1023 | TCP | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | Rozsah IP adres /CIDR pro podsíť klienta Lustre | Povolit | Povolte odchozí toky pro systém souborů Azure Managed Lustre do klienta Lustre. Povoluje pouze porty TCP 988 a 1019-1023 ve zdroji a cíli. |
| 109 | rule-name | 123 | UDP | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | 168.61.215.74/32 | Povolit | Povolte odchozí toky na server MS NTP (168.61.215.74). Pouze cílový port UDP 123. |
| 110 | rule-name | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Povolit | Povolení odchozích toků do telemetrie Spravované lustre Azure (20.45.120.0/21) Pouze cílový port TCP 443. |
| 111 | rule-name | Všechny | Všechny | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | IP adresa /rozsah CIDR pro podsíť systému souborů Azure Managed Lustre | Povolit | Povolte protokol nebo toky portů mezi hostiteli v podsíti systému souborů Azure Managed Lustre. Systém například pro počáteční nasazení a konfiguraci používá port TCP 22 (SSH). |
| 112 | rule-name | 443 | TCP | VirtualNetwork |
EventHub |
Povolit | Povoluje odchozí toky do značky EventHub služby. Pouze cílový port TCP 443. |
| 1000 | rule-name | Všechny | Všechny | VirtualNetwork |
Internet |
Odepřít | Odepřít odchozí toky na internet. |
| 1010 | rule-name | Všechny | Všechny | Všechny | Všechny | Odepřít | Odepřít všechny ostatní odchozí toky. |
Pravidla zabezpečení odchozích přenosů na webu Azure Portal by měla vypadat podobně jako na následujícím snímku obrazovky. Snímek obrazovky je k dispozici jako příklad; projděte si tabulku s úplným seznamem pravidel. V závislosti na vašem nasazení byste měli upravit rozsah IP adres podsítě nebo rozsah CIDR a další nastavení:
Další kroky
Další informace o spravované lustre Azure najdete v následujících článcích:
Další informace o skupinách zabezpečení sítě Azure najdete v následujících článcích: