Nastavení koncových bodů na klasickém virtuálním počítači s Linuxem v Azure
Důležité
Klasické virtuální počítače budou vyřazeny 1. března 2023.
Pokud používáte prostředky IaaS z ASM, dokončete migraci do 1. března 2023. Doporučujeme vám, abyste mohli v Azure Resource Manager využít výhod mnoha vylepšení funkcí.
Další informace najdete v tématu Migrace prostředků IaaS do Azure Resource Manager do 1. března 2023.
Všechny virtuální počítače s Linuxem, které vytvoříte v Azure pomocí modelu nasazení Classic, můžou automaticky komunikovat přes privátní síťový kanál s jinými virtuálními počítači ve stejné cloudové službě nebo virtuální síti. Počítače na internetu nebo jiných virtuálních sítích ale vyžadují koncové body pro směrování příchozího síťového provozu na virtuální počítač. Tento článek je také k dispozici pro virtuální počítače s Windows.
Poznámka
Azure má dva různé modely nasazení pro vytváření a práci s prostředky: Resource Manager a Classic. Tento článek popisuje použití modelu nasazení Classic. Microsoft doporučuje, aby byl ve většině nových nasazení použit model Resource Manager.
Od 15. listopadu 2017 budou virtuální počítače dostupné jenom v Azure Portal.
V modelu nasazení Resource Manager se koncové body konfigurují pomocí skupin zabezpečení sítě (NSG). Další informace najdete v tématu Otevírání portů a koncových bodů.
Když vytvoříte virtuální počítač s Linuxem v Azure Portal, koncový bod pro Secure Shell (SSH) se obvykle vytvoří automaticky. Můžete nakonfigurovat další koncové body při vytváření virtuálního počítače nebo potom podle potřeby.
Každý koncový bod má veřejný port a privátní port:
- Veřejný port používá nástroj pro vyrovnávání zatížení Azure k naslouchání příchozímu provozu do virtuálního počítače z internetu.
- Privátní port používá virtuální počítač k naslouchání příchozímu provozu, obvykle určenému aplikaci nebo službě spuštěné na virtuálním počítači.
Výchozí hodnoty pro protokol IP a porty TCP nebo UDP pro dobře známé síťové protokoly jsou poskytovány při vytváření koncových bodů s Azure Portal. Pro vlastní koncové body zadejte správný protokol IP (TCP nebo UDP) a veřejné a privátní porty. Pokud chcete distribuovat příchozí provoz náhodně mezi více virtuálních počítačů, vytvořte sadu s vyrovnáváním zatížení skládající se z několika koncových bodů.
Po vytvoření koncového bodu můžete pomocí seznamu řízení přístupu (ACL) definovat pravidla, která povolují nebo zakazují příchozí provoz na veřejný port koncového bodu na základě jeho zdrojové IP adresy. Pokud je ale virtuální počítač ve virtuální síti Azure, použijte místo toho skupiny zabezpečení sítě. Další informace najdete v tématu O skupinách zabezpečení sítě.
Poznámka
Konfigurace brány firewall pro virtuální počítače Azure se provádí automaticky pro porty přidružené ke koncovým bodům vzdáleného připojení, které Azure nastaví automaticky. U portů určených pro všechny ostatní koncové body se pro bránu firewall virtuálního počítače neprovládá automaticky žádná konfigurace. Při vytváření koncového bodu pro virtuální počítač se ujistěte, že brána firewall virtuálního počítače také umožňuje provoz protokolu a privátního portu odpovídající konfiguraci koncového bodu. Pokud chcete nakonfigurovat bránu firewall, projděte si dokumentaci nebo online nápovědu pro operační systém spuštěný na virtuálním počítači.
Vytvoření koncového bodu
Přihlaste se k webu Azure Portal.
Vyberte virtuální počítače a pak vyberte virtuální počítač, který chcete nakonfigurovat.
Ve skupině Nastavení vyberte koncové body. Zobrazí se stránka Koncové body , která obsahuje seznam všech aktuálních koncových bodů pro virtuální počítač. (Tento příklad je určený pro virtuální počítač s Windows. Virtuální počítač s Linuxem ve výchozím nastavení zobrazí koncový bod pro SSH.)
Na panelu příkazů nad položkami koncového bodu vyberte Přidat. Zobrazí se stránka Přidat koncový bod .
Jako název zadejte název koncového bodu.
V případě protokolu zvolte tcp nebo UDP.
Jako veřejný port zadejte číslo portu příchozího provozu z internetu.
Jako privátní port zadejte číslo portu, na kterém virtuální počítač naslouchá. Čísla veřejných a privátních portů se můžou lišit. Ujistěte se, že je brána firewall na virtuálním počítači nakonfigurovaná tak, aby umožňovala provoz odpovídající protokolu a privátnímu portu.
Vyberte OK.
Nový koncový bod je uvedený na stránce Koncové body .
Správa seznamu ACL v koncovém bodu
Pokud chcete definovat sadu počítačů, které můžou odesílat provoz, může seznam ACL v koncovém bodu omezit provoz na základě zdrojové IP adresy. Podle těchto kroků přidejte, upravte nebo odeberte seznam ACL v koncovém bodu.
Poznámka
Pokud je koncový bod součástí sady s vyrovnáváním zatížení, všechny změny provedené v seznamu ACL v koncovém bodu se použijí na všechny koncové body v sadě.
Pokud je virtuální počítač ve virtuální síti Azure, použijte místo seznamů ACL skupiny zabezpečení sítě. Další informace najdete v tématu O skupinách zabezpečení sítě.
Přihlaste se k webu Azure Portal.
Vyberte Virtuální počítače a pak vyberte název virtuálního počítače, který chcete nakonfigurovat.
Vyberte koncové body. V seznamu koncových bodů vyberte příslušný koncový bod. Seznam seznamů ACL je v dolní části stránky.
Pomocí řádků v seznamu můžete přidat, odstranit nebo upravit pravidla seznamu ACL a změnit jejich pořadí. Hodnota VZDÁLENÉ PODSÍTĚ je rozsah IP adres příchozího provozu z internetu, který nástroj pro vyrovnávání zatížení Azure používá k povolení nebo zamítnutí provozu na základě zdrojové IP adresy. Nezapomeňte zadat rozsah IP adres ve formátu CIDR (Classless Inter-Domain Routing), který se označuje také jako formát předpony adresy. Například,
10.1.0.0/8
.
Pomocí pravidel můžete povolit provoz jenom z konkrétních počítačů odpovídajících vašim počítačům na internetu nebo zakázat provoz z konkrétních známých rozsahů adres.
Pravidla se vyhodnocují v pořadí počínaje prvním pravidlem a končí posledním pravidlem. Proto by měla být pravidla seřazena od nejnižších omezujících po nejvíce omezující. Další informace najdete v tématu Co je seznam Access Control sítě.
Další kroky
- Koncový bod virtuálního počítače můžete vytvořit také pomocí rozhraní Azure Command-Line. Spusťte příkaz create koncového bodu virtuálního počítače Azure .
- Pokud jste vytvořili virtuální počítač v modelu nasazení Resource Manager, můžete pomocí Azure CLI v režimu Resource Manager vytvořit skupiny zabezpečení sítě k řízení provozu do virtuálního počítače.