Konfigurowanie punktów końcowych na maszynie wirtualnej z systemem Windows przy użyciu klasycznego modelu wdrażania

Ważne

Klasyczne maszyny wirtualne będą wycofywane 1 marca 2023 r.

Jeśli używasz zasobów IaaS z usługi ASM, wykonaj migrację do 1 marca 2023 r. Zachęcamy do przejścia wcześniej, aby skorzystać z wielu ulepszeń funkcji w usłudze Azure Resource Manager.

Aby uzyskać więcej informacji, zobacz Migruj swoje zasoby IaaS do Azure Resource Manager do 1 marca 2023.

Maszyny wirtualne z systemem Windows utworzone na platformie Azure przy użyciu klasycznego modelu wdrażania mogą automatycznie komunikować się za pośrednictwem kanału sieci prywatnej z innymi maszynami wirtualnymi w tej samej usłudze w chmurze lub sieci wirtualnej. Jednak komputery w Internecie lub innych sieciach wirtualnych wymagają, aby punkty końcowe kierowały przychodzący ruch sieciowy do maszyny wirtualnej.

Punkty końcowe można również skonfigurować na maszynach wirtualnych z systemem Linux .

Ważne

Platforma Azure ma dwa różne modele wdrażania do tworzenia zasobów i pracy z nimi: Resource Manager i klasyczny. W tym artykule opisano klasyczny model wdrażania. Firma Microsoft zaleca, aby większość nowych wdrożeń korzystała z modelu usługi Resource Manager.

Od 15 listopada 2017 r. maszyny wirtualne będą dostępne wyłącznie w portalu Azure .

W modelu wdrażania usługi Resource Manager punkty końcowe konfigurowane są przy użyciu Grup zabezpieczeń sieci . Aby uzyskać więcej informacji, zobacz Zezwalaj na dostęp zewnętrzny do maszyny wirtualnej przy użyciu witryny Azure Portal.

Podczas tworzenia maszyny wirtualnej z systemem Windows w witrynie Azure Portal typowe punkty końcowe, takie jak punkty końcowe pulpitu zdalnego i komunikacji zdalnej programu Windows PowerShell, są zwykle tworzone automatycznie. Dodatkowe punkty końcowe można skonfigurować później zgodnie z potrzebami.

Każdy punkt końcowy ma publiczny port i port prywatny:

• Port publiczny jest używany przez moduł równoważenia obciążenia platformy Azure do nasłuchiwania ruchu przychodzącego do maszyny wirtualnej z Internetu.
• Port prywatny jest używany przez maszynę wirtualną do nasłuchiwania ruchu przychodzącego, zazwyczaj przeznaczonego do aplikacji lub usługi uruchomionej na maszynie wirtualnej.

Wartości domyślne dla protokołu IP i portów TCP lub UDP dla dobrze znanych protokołów sieciowych są udostępniane podczas tworzenia punktów końcowych w witrynie Azure Portal. W przypadku niestandardowych punktów końcowych określ prawidłowy protokół IP (TCP lub UDP) oraz porty publiczne i prywatne. Aby losowo dystrybuować ruch przychodzący na wielu maszynach wirtualnych, utwórz zestaw o zrównoważonym obciążeniu składający się z wielu punktów końcowych.

Po utworzeniu punktu końcowego można użyć listy kontroli dostępu (ACL), aby zdefiniować reguły zezwalające na ruch przychodzący do publicznego portu punktu końcowego lub odmawiające go na podstawie jego źródłowego adresu IP. Jeśli jednak maszyna wirtualna znajduje się w sieci wirtualnej platformy Azure, użyj sieciowych grup zabezpieczeń. Aby uzyskać więcej informacji, zobacz Informacje o sieciowych grupach zabezpieczeń.

Uwaga

Konfiguracja zapory dla maszyn wirtualnych platformy Azure jest wykonywana automatycznie dla portów skojarzonych z punktami końcowymi łączności zdalnej skonfigurowanymi automatycznie przez platformę Azure. W przypadku portów określonych dla wszystkich innych punktów końcowych żadna konfiguracja nie jest wykonywana automatycznie w zaporze maszyny wirtualnej. Podczas tworzenia punktu końcowego dla maszyny wirtualnej upewnij się, że zapora maszyny wirtualnej zezwala również na ruch dla protokołu i portu prywatnego odpowiadającego konfiguracji punktu końcowego. Aby skonfigurować zaporę, zobacz dokumentację lub pomoc online dotyczącą systemu operacyjnego uruchomionego na maszynie wirtualnej.

Tworzenie punktu końcowego

1. Zaloguj się w witrynie Azure Portal.

2. Wybierz pozycję Maszyny wirtualne, a następnie wybierz maszynę wirtualną, którą chcesz skonfigurować.

3. Wybierz pozycję Punkty końcowe w grupie Ustawienia. Wyświetlana jest strona punktów końcowych , która zawiera listę wszystkich bieżących punktów końcowych dla maszyny wirtualnej. (Ten przykład dotyczy maszyny wirtualnej z systemem Windows. Maszyna wirtualna z systemem Linux domyślnie wyświetla punkt końcowy dla protokołu SSH).

   

4. Na pasku poleceń znajdującym się nad wpisami punktów końcowych wybierz pozycję Dodaj. Pojawi się strona Dodaj punkt końcowy.

5. W polu nazwa wprowadź nazwę punktu końcowego.

6. Dla protokołu wybierz TCP lub UDP.

7. W przypadku publicznego portu, wprowadź numer portu dla ruchu przychodzącego z internetu.

8. Wprowadź numer portu, na którym nasłuchuje maszyna wirtualna dla prywatnego portu . Numery portów publicznych i prywatnych mogą być różne. Upewnij się, że zapora na maszynie wirtualnej została skonfigurowana tak, aby zezwalała na ruch odpowiadający protokołowi i portowi prywatnemu.

9. Kliknij przycisk OK.

Nowy punkt końcowy znajduje się na stronie Endpoints.

Utworzenie punktu końcowego zakończone pomyślnie

Zarządzaj ACL w punkcie końcowym

Aby zdefiniować zestaw komputerów, które mogą wysyłać ruch, lista ACL w punkcie końcowym może ograniczyć ruch na podstawie źródłowego adresu IP. Wykonaj następujące kroki, aby dodać, zmodyfikować lub usunąć listę kontroli dostępu (ACL) w punkcie końcowym.

Uwaga

Jeśli punkt końcowy jest częścią zestawu o zrównoważonym obciążeniu, wszelkie zmiany wprowadzone do listy ACL w punkcie końcowym zostaną zastosowane do wszystkich punktów końcowych w zestawie.

Jeśli maszyna wirtualna znajduje się w sieci wirtualnej platformy Azure, użyj grup zabezpieczeń sieci zamiast list kontroli dostępu (ACL). Aby uzyskać więcej informacji, zobacz Informacje o sieciowych grupach zabezpieczeń.

1. Zaloguj się do witryny Azure Portal.

2. Wybierz maszyny wirtualne, a następnie wybierz nazwę maszyny wirtualnej, którą chcesz skonfigurować.

3. Wybierz Punkty końcowe. Z listy punktów końcowych wybierz odpowiedni punkt końcowy. Lista ACL znajduje się w dolnej części strony.

   

4. Użyj wierszy na liście, aby dodać, usunąć lub edytować reguły dla listy ACL i zmienić ich kolejność. Wartość REMOTE SUBNET to zakres adresów IP dla ruchu przychodzącego z Internetu używany przez moduł równoważenia obciążenia platformy Azure do zezwalania na ruch na podstawie jego źródłowego adresu IP lub odmowy go. Pamiętaj, aby określić zakres adresów IP w formacie CIDR (classless inter-domain routing) znany również jako format prefiksu adresu. Na przykład 10.1.0.0/8.

Za pomocą reguł można zezwalać tylko na ruch z określonych komputerów odpowiadających komputerom w Internecie lub blokować ruch z określonych, znanych zakresów adresów.

Reguły są oceniane w kolejności rozpoczynającej się od pierwszej reguły i kończąc na ostatniej regule. W związku z tym reguły powinny być uporządkowane od najmniej restrykcyjnych do najbardziej restrykcyjnych. Aby uzyskać więcej informacji, zobacz Co to jest lista kontroli dostępu do sieci.

Następne kroki

• Aby użyć polecenia cmdlet programu Azure PowerShell do skonfigurowania punktu końcowego maszyny wirtualnej, zobacz Add-AzureEndpoint.
• Aby użyć polecenia cmdlet programu Azure PowerShell do zarządzania listą ACL w punkcie końcowym, zobacz Zarządzanie listami kontroli dostępu (ACL) dla punktów końcowych przy użyciu programu PowerShell.
• Jeśli utworzono maszynę wirtualną w modelu wdrażania przy użyciu usługi Resource Manager, możesz użyć programu Azure PowerShell, aby utworzyć sieciowe grupy zabezpieczeń w celu kontrolowania ruchu do maszyny wirtualnej.