Definir configurações de rede da máquina virtual do Azure

  • 5 minutos

Instalamos nosso software personalizado, configuramos um servidor FTP e configuramos a VM para receber nossos arquivos de vídeo. No entanto, se tentarmos nos conectar ao nosso endereço IP público com FTP, descobriremos que ele está bloqueado.

Fazer ajustes na configuração do servidor geralmente é realizado com equipamentos em seu ambiente local. Nesse sentido, você pode considerar as VMs do Azure como uma extensão desse ambiente. Você pode fazer alterações de configuração, gerenciar redes, abrir ou bloquear tráfego e muito mais por meio do portal do Azure, da CLI do Azure ou das ferramentas do Azure PowerShell.

Você já viu algumas das informações básicas e opções de gerenciamento no painel Visão Geral da máquina virtual. Vamos explorar um pouco mais a configuração de rede.

Abrir portas em VMs do Azure

Por padrão, as novas VMs são bloqueadas.

Os aplicativos podem fazer solicitações de saída, mas o único tráfego de entrada permitido é da rede virtual (por exemplo, outros recursos na mesma rede local) e do Balanceador de Carga do Azure (verificações de teste).

Há duas etapas para ajustar a configuração para suportar FTP. Ao criar uma nova VM, você tem a oportunidade de abrir algumas portas comuns (RDP, HTTP, HTTPS, e SSH). No entanto, se você precisar de outras alterações no firewall, você precisará fazê-las você mesmo.

O processo para isso envolve duas etapas:

  1. Crie um Grupo de Segurança de Rede.
  2. Crie uma regra de entrada que permita o tráfego nas portas 20 e 21 para suporte FTP ativo.

O que é um Grupo de Segurança de Rede?

As redes virtuais (VNets) são a base do modelo de rede do Azure e fornecem isolamento e proteção. Os NSGs (Grupos de Segurança de Rede) são a principal ferramenta usada para impor e controlar regras de tráfego de rede no nível da rede. Os NSGs são uma camada de segurança opcional que fornece um firewall de software filtrando o tráfego de entrada e saída na rede virtual.

Os grupos de segurança podem ser associados a uma interface de rede (para regras por host), a uma sub-rede na rede virtual (para aplicar a vários recursos) ou a ambos os níveis.

Regras do grupo de segurança

Os NSGs usam regras para permitir ou negar o tráfego que se move pela rede. Cada regra identifica o endereço (ou intervalo) de origem e de destino, o protocolo, a porta (ou intervalo), a direção (de entrada ou de saída), uma prioridade numérica e se o tráfego que corresponde à regra deve ser permitido ou negado. A ilustração a seguir mostra as regras NSG aplicadas nos níveis de sub-rede e interface de rede.

Ilustração mostrando a arquitetura de grupos de segurança de rede em duas sub-redes diferentes. Em uma sub-rede, há duas máquinas virtuais, cada uma com suas próprias regras de interface de rede. A sub-rede em si tem um conjunto de regras que se aplica a ambas as máquinas virtuais.

Cada grupo de segurança tem um conjunto de regras de segurança padrão para aplicar as regras de rede padrão descritas na passagem anterior. Não é possível modificar essas regras padrão, mas você pode substituí-las.

Como o Azure usa regras de rede

Para tráfego de entrada, o Azure processa o grupo de segurança associado à sub-rede e, em seguida, o grupo de segurança aplicado à interface de rede. O tráfego de saída é processado na ordem oposta (a interface de rede primeiro, seguida pela sub-rede).

Advertência

Lembre-se de que os grupos de segurança são opcionais em ambos os níveis. Se nenhum grupo de segurança for aplicado, todo o tráfego será permitido pelo Azure. Se a VM tiver um IP público, isso pode ser um sério risco, especialmente se o sistema operacional não fornecer algum tipo de firewall.

As regras são avaliadas em ordem de prioridade, começando com a regra de prioridade mais baixa. Regras de negação sempre interrompem a avaliação. Por exemplo, se uma solicitação de saída for bloqueada por uma regra de interface de rede, as regras aplicadas à sub-rede não serão verificadas. Para que o tráfego seja permitido através do grupo de segurança, ele deve passar por todos os grupos aplicados .

A última regra é sempre uma regra Negar Tudo. Esta é uma regra predefinida adicionada a cada grupo de segurança para tráfego de entrada e de saída com uma prioridade de 65500. Isso significa que para que o tráfego passe pelo grupo de segurança, deve-se ter uma regra de permissão, caso contrário, a regra final padrão irá bloqueá-la. Saiba mais sobre as regras de segurança.

Observação

SMTP (porta 25) é um caso especial. Dependendo do seu nível de subscrição e de quando a sua conta foi criada, o tráfego SMTP de saída poderá estar bloqueado. Você pode fazer uma solicitação para remover essa restrição com uma justificativa comercial.