Sieciowe grupy zabezpieczeń z usługą Azure Site Recovery

Sieciowe grupy zabezpieczeń służą do ograniczania ruchu sieciowego do zasobów w sieci wirtualnej. Sieciowa grupa zabezpieczeń zawiera listę reguł zabezpieczeń, które zezwalają na ruch przychodzący lub wychodzący lub wychodzący na podstawie źródłowego lub docelowego adresu IP, portu i protokołu.

W ramach modelu wdrażania usługi Resource Manager sieciowe grupy zabezpieczeń mogą być skojarzone z podsieciami lub poszczególnymi interfejsami sieciowymi. Jeśli sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, te reguły są stosowane do wszystkich zasobów połączonych z tą podsiecią. Ruch może być dodatkowo ograniczony przez skojarzenie sieciowej grupy zabezpieczeń z poszczególnymi interfejsami sieciowymi w podsieci, która ma już skojarzona sieciowa grupa zabezpieczeń.

W tym artykule opisano sposób używania sieciowych grup zabezpieczeń w usłudze Azure Site Recovery.

Korzystanie z sieciowych grup zabezpieczeń

Pojedyncza podsieć może mieć zero lub jedną skojarzną sieciową grupę zabezpieczeń. Pojedynczy interfejs sieciowy może również mieć zero lub jedną skojarzona sieciowa grupa zabezpieczeń. W związku z tym można skutecznie ograniczyć ruch podwójny dla maszyny wirtualnej, najpierw kojarząc sieciową grupę zabezpieczeń z podsiecią, a następnie inną sieciową grupę zabezpieczeń do interfejsu sieciowego maszyny wirtualnej. Zastosowanie reguł sieciowej grupy zabezpieczeń w tym przypadku zależy od kierunku ruchu i priorytetu zastosowanych reguł zabezpieczeń.

Rozważ prosty przykład z jedną maszyną wirtualną w następujący sposób:

• Maszyna wirtualna jest umieszczana w podsieci Contoso.
• Podsieć Contoso jest skojarzona z sieciową grupą zabezpieczeń podsieci.
• Interfejs sieciowy maszyny wirtualnej jest dodatkowo skojarzony z sieciową grupą zabezpieczeń maszyny wirtualnej.

W tym przykładzie w przypadku ruchu przychodzącego sieciowa grupa zabezpieczeń podsieci jest oceniana jako pierwsza. Każdy ruch dozwolony przez sieciową grupę zabezpieczeń podsieci jest następnie oceniany przez sieciową grupę zabezpieczeń maszyny wirtualnej. Odwrotnie ma zastosowanie do ruchu wychodzącego, a sieciowa grupa zabezpieczeń maszyny wirtualnej jest oceniana jako pierwsza. Każdy ruch dozwolony przez sieciową grupę zabezpieczeń maszyny wirtualnej jest następnie oceniany przez sieciową grupę zabezpieczeń podsieci.

Dzięki temu można uzyskać szczegółową aplikację reguł zabezpieczeń. Na przykład możesz zezwolić na przychodzący dostęp do Internetu do kilku maszyn wirtualnych aplikacji (takich jak maszyny wirtualne frontonu) w podsieci, ale ograniczyć przychodzący dostęp do Internetu do innych maszyn wirtualnych (takich jak baza danych i inne maszyny wirtualne zaplecza). W takim przypadku możesz mieć bardziej łagodną regułę w sieciowej grupie zabezpieczeń podsieci, zezwalając na ruch internetowy i ograniczając dostęp do określonych maszyn wirtualnych, odmawiając dostępu do sieciowej grupy zabezpieczeń maszyn wirtualnych. To samo można zastosować dla ruchu wychodzącego.

Podczas konfigurowania takich konfiguracji sieciowej grupy zabezpieczeń upewnij się, że odpowiednie priorytety są stosowane do reguł zabezpieczeń. Reguły są przetwarzane w kolejności priorytetów. Im niższy numer, tym wyższy priorytet, więc te o niższych numerach są przetwarzane przed tymi o wyższych numerach. Kiedy ruch jest zgodny z regułą, przetwarzanie zostaje zatrzymane. W związku z tym żadne istniejące reguły o niższych priorytetach (wyższych numerach), które mają takie same atrybuty jak reguły o wyższych priorytetach, nie będą przetwarzane.

Możesz czasami nie wiedzieć, że grupy zabezpieczeń sieci są stosowane do interfejsu sieciowego i podsieci. Reguły agregacji stosowane do interfejsu sieciowego można sprawdzić, wyświetlając obowiązujące reguły zabezpieczeń dla interfejsu sieciowego. Możesz również użyć możliwości weryfikacji przepływu adresów IP w usłudze Azure Network Watcher, aby określić, czy komunikacja jest dozwolona, czy z interfejsu sieciowego. Narzędzie informuje, czy komunikacja jest dozwolona, oraz która reguła zabezpieczeń sieci zezwala lub nie zezwala na ruch.

Replikacja lokalna na platformę Azure z sieciową grupą zabezpieczeń

Usługa Azure Site Recovery umożliwia odzyskiwanie po awarii i migrację na platformę Azure dla lokalnych maszyn wirtualnych funkcji Hyper-V, maszyn wirtualnych VMware i serwerów fizycznych. W przypadku wszystkich scenariuszy lokalnych na platformę Azure dane replikacji są wysyłane i przechowywane na koncie usługi Azure Storage. Podczas replikacji nie są naliczane żadne opłaty za maszynę wirtualną. Po uruchomieniu trybu failover na platformie Azure usługa Site Recovery automatycznie tworzy maszyny wirtualne IaaS platformy Azure.

Po utworzeniu maszyn wirtualnych po przejściu w tryb failover na platformę Azure sieciowe grupy zabezpieczeń mogą służyć do ograniczania ruchu sieciowego do sieci wirtualnej i maszyn wirtualnych. Usługa Site Recovery nie tworzy sieciowych grup zabezpieczeń w ramach operacji trybu failover. Zalecamy utworzenie wymaganych sieciowych grup zabezpieczeń platformy Azure przed zainicjowaniem trybu failover. Następnie można skojarzyć sieciowe grupy zabezpieczeń z maszynami wirtualnymi w trybie failover automatycznie podczas pracy w trybie failover przy użyciu skryptów automatyzacji z zaawansowanymi planami odzyskiwania usługi Site Recovery.

Jeśli na przykład konfiguracja maszyny wirtualnej po przejściu w tryb failover jest podobna do przykładowego scenariusza opisanego powyżej:

• Możesz utworzyć sieć wirtualną Contoso i podsieć Contoso w ramach planowania odzyskiwania po awarii w docelowym regionie świadczenia usługi Azure.
• Można również utworzyć i skonfigurować zarówno sieciową grupę zabezpieczeń podsieci, jak i sieciową grupę zabezpieczeń maszyn wirtualnych w ramach tego samego planowania odzyskiwania po awarii.
• Sieciowa grupa zabezpieczeń podsieci może być następnie natychmiast skojarzona z podsiecią Contoso, ponieważ sieciowa grupa zabezpieczeń i podsieć są już dostępne.
• Sieciowa grupa zabezpieczeń maszyn wirtualnych może być skojarzona z maszynami wirtualnymi podczas pracy w trybie failover przy użyciu planów odzyskiwania.

Po utworzeniu i skonfigurowaniu sieciowych grup zabezpieczeń zalecamy przeprowadzenie testu pracy w trybie failover , aby zweryfikować skryptowe skojarzenia sieciowej grupy zabezpieczeń i łączność maszyn wirtualnych po przejściu w tryb failover.

Replikacja z platformy Azure do platformy Azure z sieciową grupą zabezpieczeń

Usługa Azure Site Recovery umożliwia odzyskiwanie po awarii maszyn wirtualnych platformy Azure. Podczas włączania replikacji dla maszyn wirtualnych platformy Azure usługa Site Recovery może utworzyć sieci wirtualne repliki (w tym podsieci i podsieci bramy) w regionie docelowym i utworzyć wymagane mapowania między źródłowymi i docelowymi sieciami wirtualnymi. Można również wstępnie utworzyć docelowe sieci boczne i podsieci oraz użyć tego samego podczas włączania replikacji. Usługa Site Recovery nie tworzy żadnych maszyn wirtualnych w docelowym regionie świadczenia usługi Azure przed przejściem w tryb failover.

W przypadku replikacji maszyn wirtualnych platformy Azure upewnij się, że reguły sieciowej grupy zabezpieczeń w regionie źródłowym platformy Azure zezwalają na łączność wychodzącą dla ruchu replikacji. Możesz również przetestować i zweryfikować te wymagane reguły za pomocą tej przykładowej konfiguracji sieciowej grupy zabezpieczeń.

Usługa Site Recovery nie tworzy ani nie replikuje sieciowych grup zabezpieczeń w ramach operacji trybu failover. Zalecamy utworzenie wymaganych sieciowych grup zabezpieczeń w docelowym regionie świadczenia usługi Azure przed zainicjowaniem trybu failover. Następnie można skojarzyć sieciowe grupy zabezpieczeń z maszynami wirtualnymi w trybie failover automatycznie podczas pracy w trybie failover przy użyciu skryptów automatyzacji z zaawansowanymi planami odzyskiwania usługi Site Recovery.

Biorąc pod uwagę przykładowy scenariusz opisany wcześniej:

• Usługa Site Recovery może tworzyć repliki sieci wirtualnej Contoso i podsieci Contoso w docelowym regionie świadczenia usługi Azure po włączeniu replikacji dla maszyny wirtualnej.
• W docelowym regionie świadczenia usługi Azure można utworzyć żądane repliki sieciowej grupy zabezpieczeń podsieci i sieciowej grupy zabezpieczeń maszyny wirtualnej podsieci (nazwana na przykład docelowa sieciowa grupa zabezpieczeń podsieci i docelowa sieciowa grupa zabezpieczeń maszyny wirtualnej) w docelowym regionie świadczenia usługi Azure.
• Sieciowa sieciowa grupa zabezpieczeń podsieci docelowej może być natychmiast skojarzona z podsiecią regionu docelowego, ponieważ sieciowa grupa zabezpieczeń i podsieć są już dostępne.
• Docelowa sieciowa grupa zabezpieczeń maszyn wirtualnych może być skojarzona z maszynami wirtualnymi podczas pracy w trybie failover przy użyciu planów odzyskiwania.

Po utworzeniu i skonfigurowaniu sieciowych grup zabezpieczeń zalecamy przeprowadzenie testu pracy w trybie failover , aby zweryfikować skryptowe skojarzenia sieciowej grupy zabezpieczeń i łączność maszyn wirtualnych po przejściu w tryb failover.

Następne kroki

• Dowiedz się więcej o sieciowych grupach zabezpieczeń.
• Dowiedz się więcej o regułach zabezpieczeń sieciowej grupy zabezpieczeń.
• Dowiedz się więcej o obowiązujących regułach zabezpieczeń dla sieciowej grupy zabezpieczeń.
• Dowiedz się więcej o planach odzyskiwania w celu zautomatyzowania trybu failover aplikacji.