Sdílet prostřednictvím

Skupiny zabezpečení sítě se službou Azure Site Recovery

  • Článek

Skupiny zabezpečení sítě slouží k omezení síťového provozu na prostředky ve virtuální síti. Skupina zabezpečení sítě (NSG) obsahuje seznam pravidel zabezpečení, která povolují nebo zakazují příchozí nebo odchozí síťový provoz na základě zdrojové nebo cílové IP adresy, portu a protokolu.

V rámci modelu nasazení Resource Manager je možné skupiny zabezpečení sítě přidružit k podsítím nebo jednotlivým síťovým rozhraním. Pokud je skupina zabezpečení sítě přidružená k podsíti, pravidla se vztahují na všechny prostředky, které jsou připojené k příslušné podsíti. Provoz je možné dále omezit přidružením skupiny zabezpečení sítě k jednotlivým síťovým rozhraním v podsíti, která už má přidruženou skupinu zabezpečení sítě.

Tento článek popisuje, jak používat skupiny zabezpečení sítě se službou Azure Site Recovery.

Použití skupin zabezpečení sítě

Jednotlivá podsíť může mít přidruženou nulu nebo jednu skupinu zabezpečení sítě. K jednotlivým síťovým rozhraním může být přidružená také nula nebo jedna skupina zabezpečení sítě. Můžete tedy efektivně mít omezení duálního provozu pro virtuální počítač tím, že nejprve přidružujete skupinu zabezpečení sítě k podsíti a pak další skupinu zabezpečení sítě k síťovému rozhraní virtuálního počítače. Použití pravidel NSG v tomto případě závisí na směru provozu a prioritě použitých pravidel zabezpečení.

Podívejte se na jednoduchý příklad s jedním virtuálním počítačem následujícím způsobem:

  • Virtuální počítač se umístí do podsítě Contoso.
  • Podsíť Contoso je přidružená ke skupině zabezpečení sítě podsítě.
  • Síťové rozhraní virtuálního počítače je navíc přidružené ke skupině zabezpečení sítě virtuálních počítačů.

Skupina zabezpečení sítě se službou Site Recovery

V tomto příkladu pro příchozí provoz se nejprve vyhodnotí skupina zabezpečení sítě podsítě. Veškerý provoz povolený prostřednictvím skupiny zabezpečení sítě podsítě se pak vyhodnotí skupinou zabezpečení sítě virtuálních počítačů. Opačná hodnota se vztahuje na odchozí provoz, přičemž skupina zabezpečení sítě virtuálních počítačů se vyhodnocuje jako první. Veškerý provoz povolený prostřednictvím skupiny zabezpečení sítě virtuálních počítačů se pak vyhodnotí skupinou zabezpečení sítě podsítě.

To umožňuje podrobnou aplikaci pravidel zabezpečení. Můžete například chtít povolit příchozí internetový přístup k několika aplikačním virtuálním počítačům (například virtuálním počítačům front-endu) v podsíti, ale omezit příchozí internetový přístup k jiným virtuálním počítačům (například k databázi a dalším back-endovým virtuálním počítačům). V takovém případě můžete mít u skupiny zabezpečení sítě podsítě větší pravidlo, které povoluje internetový provoz a omezuje přístup k určitým virtuálním počítačům odepřením přístupu ve skupině zabezpečení sítě virtuálních počítačů. Totéž se dá použít pro odchozí provoz.

Při nastavování těchto konfigurací NSG se ujistěte, že se na pravidla zabezpečení použijí správné priority. Pravidla se zpracovávají v pořadí podle priority, přičemž nižší čísla, která mají vyšší prioritu, se zpracovávají před vyššími čísly. Jakmile provoz odpovídá pravidlu, zpracování se zastaví. V důsledku toho se nezpracují žádná existující pravidla s nižší prioritou (vyšší čísla), která mají stejné atributy jako pravidla s vyšší prioritou.

Ne vždy musíte mít přehled o použití skupin zabezpečení sítě na síťové rozhraní i podsíť. Agregační pravidla použitá pro síťové rozhraní můžete ověřit zobrazením efektivních pravidel zabezpečení pro síťové rozhraní. K určení, jestli je komunikace povolená nebo z síťového rozhraní, můžete také použít funkci ověření toku protokolu IP ve službě Azure Network Watcher . Tento nástroj vám řekne, jestli je povolená komunikace, a které pravidlo zabezpečení sítě povoluje nebo odepírá provoz.

Místní replikace do Azure pomocí skupiny zabezpečení sítě

Azure Site Recovery umožňuje zotavení po havárii a migraci do Azure pro místní virtuální počítače Hyper-V, virtuální počítače VMware a fyzické servery. Pro všechny místní scénáře do Azure se replikační data odesílají a ukládají do účtu Azure Storage. Během replikace neplatíte žádné poplatky za virtuální počítače. Když spustíte převzetí služeb při selhání do Azure, Site Recovery automaticky vytvoří virtuální počítače Azure IaaS.

Po vytvoření virtuálních počítačů po převzetí služeb při selhání do Azure je možné skupiny zabezpečení sítě použít k omezení síťového provozu do virtuální sítě a virtuálních počítačů. Site Recovery nevytvoří skupiny zabezpečení sítě jako součást operace převzetí služeb při selhání. Před zahájením převzetí služeb při selhání doporučujeme vytvořit požadované skupiny zabezpečení sítě Azure. Skupiny zabezpečení sítě pak můžete přidružit k převzetí služeb při selhání virtuálních počítačů automaticky během převzetí služeb při selhání pomocí automatizačních skriptů s výkonnými plány obnovení Site Recovery.

Pokud je například konfigurace virtuálního počítače po převzetí služeb při selhání podobná příkladu výše uvedenému scénáři :

  • V rámci plánování zotavení po havárii v cílové oblasti Azure můžete vytvořit virtuální síť Contoso a podsíť Contoso.
  • Můžete také vytvořit a nakonfigurovat skupinu zabezpečení sítě podsítě i skupinu zabezpečení sítě virtuálních počítačů jako součást stejného plánování zotavení po havárii.
  • Skupinu zabezpečení sítě podsítě pak můžete okamžitě přidružit k podsíti Contoso, protože skupina zabezpečení sítě i podsíť jsou už k dispozici.
  • Skupinu zabezpečení sítě virtuálních počítačů je možné přidružit k virtuálním počítačům během převzetí služeb při selhání pomocí plánů obnovení.

Po vytvoření a konfiguraci skupin zabezpečení sítě doporučujeme spustit testovací převzetí služeb při selhání , abyste ověřili přidružení skupin zabezpečení sítě a připojení virtuálních počítačů po převzetí služeb při selhání.

Replikace z Azure do Azure pomocí NSG

Azure Site Recovery umožňuje zotavení po havárii virtuálních počítačů Azure. Při povolování replikace pro virtuální počítače Azure může Site Recovery vytvořit virtuální sítě repliky (včetně podsítí a podsítí brány) v cílové oblasti a vytvořit požadovaná mapování mezi zdrojovými a cílovými virtuálními sítěmi. Můžete také předem vytvořit cílové sítě a podsítě a použít stejné použití při povolování replikace. Site Recovery před převzetím služeb při selhání nevytvoří žádné virtuální počítače v cílové oblasti Azure.

V případě replikace virtuálních počítačů Azure se ujistěte, že pravidla NSG ve zdrojové oblasti Azure povolují odchozí připojení pro provoz replikace. Tato požadovaná pravidla můžete otestovat a ověřit také prostřednictvím této ukázkové konfigurace skupiny zabezpečení sítě.

Site Recovery nevytáří ani nereplikuje skupiny zabezpečení sítě jako součást operace převzetí služeb při selhání. Před zahájením převzetí služeb při selhání doporučujeme vytvořit požadované skupiny zabezpečení sítě v cílové oblasti Azure. Skupiny zabezpečení sítě pak můžete přidružit k převzetí služeb při selhání virtuálních počítačů automaticky během převzetí služeb při selhání pomocí automatizačních skriptů s výkonnými plány obnovení Site Recovery.

Zvažování ukázkového scénáře popsaného výše:

  • Site Recovery může vytvořit repliky virtuální sítě Contoso a podsítě Contoso v cílové oblasti Azure, když je pro virtuální počítač povolená replikace.
  • V cílové oblasti Azure můžete vytvořit požadované repliky skupiny zabezpečení sítě podsítě a skupiny zabezpečení sítě virtuálních počítačů (pojmenované například NSG cílové podsítě a cílové skupiny zabezpečení virtuálních počítačů), což umožňuje všechna další pravidla vyžadovaná pro cílovou oblast.
  • Cílová skupina zabezpečení sítě podsítě pak může být okamžitě přidružená k podsíti cílové oblasti, protože skupina zabezpečení sítě i podsíť jsou již k dispozici.
  • Cílová skupina zabezpečení sítě virtuálních počítačů je možné přidružit k virtuálním počítačům během převzetí služeb při selhání pomocí plánů obnovení.

Po vytvoření a konfiguraci skupin zabezpečení sítě doporučujeme spustit testovací převzetí služeb při selhání , abyste ověřili přidružení skupin zabezpečení sítě a připojení virtuálních počítačů po převzetí služeb při selhání.

Další kroky

  • Přečtěte si další informace o skupinách zabezpečení sítě.
  • Přečtěte si další informace o pravidlech zabezpečení NSG.
  • Přečtěte si další informace o efektivních pravidlech zabezpečení pro skupinu zabezpečení sítě.
  • Přečtěte si další informace o plánech obnovení pro automatizaci převzetí služeb při selhání aplikací.