Konfigurowanie ustawień sieci maszyny wirtualnej platformy Azure

  • 5 min

Zainstalowano nasze niestandardowe oprogramowanie, skonfigurowaliśmy serwer FTP i skonfigurowaliśmy maszynę wirtualną do odbierania naszych plików wideo. Jeśli jednak spróbujemy nawiązać połączenie z naszym publicznym adresem IP za pomocą protokołu FTP, okaże się, że jest on zablokowany.

Dostosowanie konfiguracji serwera jest często wykonywane przy użyciu sprzętu w środowisku lokalnym. W tym sensie możesz uznać maszyny wirtualne platformy Azure za rozszerzenie tego środowiska. Możesz wprowadzać zmiany konfiguracji, zarządzać sieciami, otwierać lub blokować ruch oraz wykonywać inne czynności za pośrednictwem witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub narzędzi programu Azure PowerShell.

Znasz już niektóre podstawowe informacje i opcje zarządzania w panelu Przegląd maszyny wirtualnej. Przyjrzyjmy się nieco bardziej konfiguracji sieci.

Otwieranie portów na maszynach wirtualnych platformy Azure

Domyślnie nowe maszyny wirtualne są zablokowane.

Aplikacje mogą wysyłać żądania wychodzące, ale jedynym dozwolonym ruchem przychodzącym jest z sieci wirtualnej (na przykład inne zasoby w tej samej sieci lokalnej) i z modułu równoważenia obciążenia platformy Azure (sprawdzanie sondy).

Istnieją dwa kroki dostosowywania konfiguracji do obsługi protokołu FTP. Podczas tworzenia nowej maszyny wirtualnej możesz otworzyć kilka typowych portów (RDP, HTTP, HTTPS i SSH). Jeśli jednak wymagane są inne zmiany zapory, musisz wprowadzić je samodzielnie.

Proces ten obejmuje dwa kroki:

  1. Utwórz sieciową grupę zabezpieczeń.
  2. Utwórz regułę ruchu przychodzącego zezwalającą na ruch na porcie 20 i 21 na potrzeby aktywnej obsługi protokołu FTP.

Co to jest sieciowa grupa zabezpieczeń?

Sieci wirtualne są podstawą modelu sieci platformy Azure i zapewniają izolację i ochronę. Sieciowe grupy zabezpieczeń to główne narzędzie używane do wymuszania i kontrolowania reguł ruchu sieciowego na poziomie sieci. Sieciowe grupy zabezpieczeń to opcjonalna warstwa zabezpieczeń, która zapewnia zaporę oprogramowania przez filtrowanie ruchu przychodzącego i wychodzącego w sieci wirtualnej.

Grupy zabezpieczeń mogą być skojarzone z interfejsem sieciowym (w przypadku reguł dla poszczególnych hostów), podsiecią w sieci wirtualnej (w celu zastosowania do wielu zasobów) lub na obu poziomach.

Reguły grupy zabezpieczeń

NSG używają reguł , aby zezwalać lub blokować ruch przechodzący przez sieć. Każda reguła identyfikuje adres źródłowy i docelowy (lub zakres), protokół, port (lub zakres), kierunek (ruch przychodzący lub wychodzący), priorytet liczbowy oraz to, czy zezwalać na ruch zgodny z regułą, czy blokować go. Poniższa ilustracja przedstawia reguły NSG stosowane na poziomach podsieci i interfejsu sieciowego.

Ilustracja przedstawiająca architekturę sieciowych grup zabezpieczeń w dwóch różnych podsieciach. W jednej podsieci istnieją dwie maszyny wirtualne, z których każda ma własne reguły interfejsu sieciowego. Sama podsieć ma zestaw reguł, które mają zastosowanie do obu maszyn wirtualnych.

Każda grupa zabezpieczeń ma zestaw domyślnych reguł zabezpieczeń, aby zastosować domyślne reguły sieciowe opisane w poprzednim fragmencie. Nie można modyfikować tych reguł domyślnych, jednak można je zastąpić.

Jak platforma Azure używa reguł sieci

W przypadku ruchu przychodzącego platforma Azure przetwarza grupę zabezpieczeń skojarzona z podsiecią, a następnie grupę zabezpieczeń zastosowaną do interfejsu sieciowego. Ruch wychodzący jest przetwarzany w odwrotnej kolejności (najpierw interfejs sieciowy, a następnie podsieć).

Ostrzeżenie

Należy pamiętać, że grupy zabezpieczeń są opcjonalne na obu poziomach. Jeśli żadna grupa zabezpieczeń nie zostanie zastosowana, cały ruch będzie dozwolony przez platformę Azure. Jeśli maszyna wirtualna ma publiczny adres IP, może to być poważne zagrożenie, szczególnie jeśli system operacyjny nie zapewnia jakiejś zapory.

Reguły są oceniane w kolejności priorytetu, począwszy od reguły o najniższym priorytcie. Reguły odmowy zawsze zatrzymują ewaluację. Jeśli na przykład żądanie wychodzące zostanie zablokowane przez regułę interfejsu sieciowego, wszystkie reguły zastosowane do podsieci nie będą sprawdzane. Aby ruch był dozwolony przez grupę zabezpieczeń, musi przechodzić przez wszystkich zastosowanych grup.

Ostatnia reguła jest zawsze regułą Odmów Wszystkim. Jest to domyślna reguła dodawana do każdej grupy zabezpieczeń zarówno dla ruchu przychodzącego, jak i wychodzącego z priorytetem 65500. Aby ruch mógł przechodzić przez grupę zabezpieczeń, musisz mieć regułę umożliwiającą, w przeciwnym razie domyślna reguła końcowa go zablokuje. dowiedz się więcej o regułach zabezpieczeń.

Notatka

Protokół SMTP (port 25) jest specjalnym przypadkiem. W zależności od poziomu subskrypcji i momentu utworzenia konta ruch wychodzący SMTP może zostać zablokowany. Możesz wysłać żądanie usunięcia tego ograniczenia z uzasadnieniem biznesowym.