Konfigurace nastavení sítě virtuálních počítačů Azure

  • 5 min

Nainstalovali jsme vlastní software, nastavili server FTP a nakonfigurovali virtuální počítač tak, aby přijímal naše videosoubory. Pokud se ale pokusíme připojit k naší veřejné IP adrese přes FTP, zjistíme, že je zablokovaný.

Úpravy konfigurace serveru se běžně provádějí s vybavením v místním prostředí. V tomto smyslu můžete považovat virtuální počítače Azure za rozšíření tohoto prostředí. Prostřednictvím webu Azure Portal, Azure CLI nebo nástrojů Azure PowerShellu můžete provádět změny konfigurace, spravovat sítě, otevírat nebo blokovat provoz a provádět další možnosti.

Na panelu přehledu pro virtuální počítač jste už viděli některé základní informace a možnosti správy. Pojďme se podrobněji podívat na konfiguraci sítě.

Otevření portů na virtuálních počítačích Azure

Ve výchozím nastavení jsou nové virtuální počítače uzamčené.

Aplikace mohou provádět odchozí požadavky, ale jediný povolený příchozí provoz je z virtuální sítě (například z jiných prostředků ve stejné místní síti) a ze služby Azure Load Balancer (kontrola sond).

Při úpravě konfigurace pro podporu ftp existují dva kroky. Při vytváření nového virtuálního počítače máte příležitost otevřít několik běžných portů (RDP, HTTP, HTTPS a SSH). Pokud ale budete potřebovat provést další změny na bráně firewall, budete je muset udělat sami.

Tento proces zahrnuje dva kroky:

  1. Vytvořte skupinu zabezpečení sítě.
  2. Vytvořte příchozí pravidlo, které povoluje provoz na portu 20 a 21 pro aktivní podporu FTP.

Co je skupina zabezpečení sítě?

Virtuální sítě jsou základem síťového modelu Azure a poskytují izolaci a ochranu. Skupiny zabezpečení sítě (NSG) jsou hlavním nástrojem, který používáte k vynucení a řízení pravidel síťového provozu na úrovni sítě. Skupiny zabezpečení sítě (NSG) jsou volitelnou vrstvou zabezpečení, která poskytuje softwarovou bránu firewall filtrováním příchozího a odchozího provozu ve VNet.

Skupiny zabezpečení lze přidružit k síťovému rozhraní (pro pravidla na úrovni jednotlivých hostitelů), podsíti ve virtuální síti (pro použití u více prostředků) nebo k oběma úrovním současně.

Pravidla skupin zabezpečení

Skupiny zabezpečení sítě používají pravidla pro a, aby povolily nebo zakázaly provoz procházející sítí. Každé pravidlo identifikuje zdrojovou a cílovou adresu (nebo rozsah), protokol, port (nebo rozsah), směr (příchozí nebo odchozí), číselnou prioritu a jestli chcete povolit nebo odepřít provoz, který odpovídá pravidlu. Následující obrázek ukazuje pravidla NSG použitá na úrovni podsítě a síťového rozhraní.

Ilustrace znázorňující architekturu skupin zabezpečení sítě ve dvou různých podsítích V jedné podsíti jsou dva virtuální počítače, z nichž každý má vlastní pravidla síťového rozhraní. Samotná podsíť má sadu pravidel, která platí pro oba virtuální počítače.

Každá skupina zabezpečení má sadu výchozích pravidel zabezpečení, která použijí výchozí pravidla sítě popsaná v předchozím úseku. Tato výchozí pravidla nemůžete upravovat, ale je můžete přepsat.

Jak Azure používá síťová pravidla

V případě příchozího provozu Azure zpracuje skupinu zabezpečení přidruženou k podsíti a pak skupinu zabezpečení použitou na síťové rozhraní. Odchozí provoz se zpracovává v opačném pořadí (nejprve síťové rozhraní následované podsítí).

Varování

Mějte na paměti, že skupiny zabezpečení jsou volitelné na obou úrovních. Pokud se nepoužije žádná skupina zabezpečení, Azure povolí veškerý provoz. Pokud má virtuální počítač veřejnou IP adresu, může to být vážné riziko, zejména pokud operační systém neposkytuje nějaký druh brány firewall.

Pravidla se vyhodnocují v pořadí prioritpočínaje pravidlem s nejnižší prioritou. Pravidla zamítnutí vždy zastaví vyhodnocení. Pokud je například odchozí požadavek blokovaný pravidlem síťového rozhraní, nebudou se kontrolovat všechna pravidla použitá v podsíti. Aby provoz mohl být povolený prostřednictvím skupiny zabezpečení, musí projít všemi použitými skupinami.

Poslední pravidlo je vždy pravidlo Odepřít vše. Toto je výchozí pravidlo přidané do každé skupiny zabezpečení pro příchozí i odchozí provoz s prioritou 65500. To znamená, že provoz prochází skupinou zabezpečení, musíte mít pravidlo povolení nebo výchozí konečné pravidlo ho zablokuje. Další informace o pravidlech zabezpečení.

Poznámka

SMTP (port 25) je zvláštní případ. V závislosti na úrovni předplatného a na vytvoření vašeho účtu může být odchozí provoz SMTP zablokovaný. Můžete požádat o odebrání tohoto omezení obchodním odůvodněním.