Поделиться через

Настройка конечных точек на классической виртуальной машине Linux в Azure

  • Статья

Это важно

Классические виртуальные машины будут прекращены 1 марта 2023 г.

Если вы используете ресурсы IaaS из ASM, выполните миграцию к 1 марта 2023 г. Рекомендуем осуществить этот переход как можно раньше, чтобы воспользоваться различными улучшенными функциями в Azure Resource Manager.

Дополнительные сведения см. в статье Перенос ресурсов IaaS в Azure Resource Manager с 1 марта 2023 г..

Все виртуальные машины Linux, создаваемые в Azure с помощью классической модели развертывания, могут автоматически обмениваться данными по каналу частной сети с другими виртуальными машинами в одной облачной службе или виртуальной сети. Однако компьютеры в Интернете или других виртуальных сетях требуют, чтобы конечные точки направляли входящий сетевой трафик на виртуальную машину. Эта статья также доступна для виртуальных машин Windows.

Примечание.

Azure имеет две различные модели развертывания для создания и работы с ресурсами: Resource Manager и классических. В этой статье описывается использование классической модели развертывания. Корпорация Майкрософт рекомендует использовать модель Resource Manager для большинства новых развертываний.

Начиная с 15 ноября 2017 г. виртуальные машины будут доступны только на портале Azure .

В модели развертывания Resource Manager конечные точки настраиваются с помощью групп безопасности сети (NSG). Дополнительные сведения см. в разделе Открытие портов и конечных точек.

При создании виртуальной машины Linux на портале Azure обычно создается конечная точка для Secure Shell (SSH). При необходимости можно настроить дополнительные конечные точки при создании виртуальной машины или после этого.

Каждая конечная точка имеет общедоступный порт и частныйпорт:

  • Общедоступный порт используется подсистемой балансировки нагрузки Azure для прослушивания входящего трафика на виртуальную машину из Интернета.
  • Частный порт используется виртуальной машиной для прослушивания входящего трафика, который обычно предназначен для приложения или службы, работающей на виртуальной машине.

Значения по умолчанию для IP-протокола и портов TCP или UDP для известных сетевых протоколов предоставляются при создании конечных точек на портале Azure. Для пользовательских конечных точек укажите правильный IP-протокол (TCP или UDP) и общедоступные и частные порты. Чтобы распределить входящий трафик случайным образом между несколькими виртуальными машинами, создайте набор балансировки нагрузки, состоящий из нескольких конечных точек.

После создания конечной точки можно использовать список управления доступом (ACL), чтобы определить правила, разрешающие или запрещающие входящий трафик на общедоступный порт конечной точки на основе исходного IP-адреса. Однако если виртуальная машина находится в виртуальной сети Azure, используйте вместо этого группы безопасности сети. Дополнительные сведения см. в разделе О группах безопасности сети.

Примечание.

Настройка брандмауэра для виртуальных машин Azure выполняется автоматически для портов, связанных с конечными точками удаленного подключения, которые Azure настраивает автоматически. Для портов, указанных для всех остальных конечных точек, автоматическая настройка брандмауэра виртуальной машины не выполняется. При создании конечной точки для виртуальной машины убедитесь, что брандмауэр виртуальной машины также разрешает трафик для протокола и частного порта, соответствующего конфигурации конечной точки. Чтобы настроить брандмауэр, ознакомьтесь с документацией или встроенной справкой, относящейся к операционной системе, работающей на виртуальной машине.

Создание конечной точки

  1. Войдите на портал Azure.

  2. Выберите виртуальные машины, а затем выберите виртуальную машину, которую требуется настроить.

  3. Выберите конечные точки в группе параметров. Откроется страница конечных точек, где перечислены все текущие конечные точки виртуальной машины. (В этом примере используется виртуальная машина Windows. Виртуальная машина Linux по умолчанию отображает конечную точку для SSH.)

    конечные точки

  4. На панели команд над записями конечных точек выберите Добавить. Появится страница добавления конечной точки .

  5. Для параметравведите имя конечной точки.

  6. Для протоколавыберите TCP или UDP.

  7. Для публичного порта введите номер порта для входящего трафика из интернета.

  8. Для частный портвведите номер порта, на котором прослушивается виртуальная машина. Номера общедоступных и частных портов могут отличаться. Убедитесь, что брандмауэр на виртуальной машине настроен для разрешения трафика, соответствующего протоколу и частному порту.

  9. Нажмите ОК.

Новая конечная точка отображается на странице «Конечные точки».

успешное создание конечной точки

Управлять списком контроля доступа (ACL) на конечной точке

Чтобы определить набор компьютеров, которые могут отправлять трафик, ACL на конечной точке может ограничить трафик на основе исходного IP-адреса. Выполните следующие действия, чтобы добавить, изменить или удалить ACL в конечной точке.

Примечание.

Если конечная точка является частью набора балансировки нагрузки, все изменения, внесенные в ACL на конечной точке, применяются ко всем конечным точкам в наборе.

Если виртуальная машина находится в виртуальной сети Azure, используйте группы безопасности сети вместо списков управления доступом. Дополнительные сведения см. в разделе О группах безопасности сети.

  1. Войдите на портал Azure.

  2. Выберите виртуальные машины, а затем выберите имя виртуальной машины, которую требуется настроить.

  3. Выберите Конечные точки. В списке конечных точек выберите соответствующую конечную точку. Список ACL находится в нижней части страницы.

    Укажите детали ACL

  4. Используйте строки в списке для добавления, удаления или изменения правил для ACL и изменения их порядка. Значение удаленной подсети — это диапазон IP-адресов для входящего трафика из Интернета, который подсистема балансировки нагрузки Azure использует для разрешения или запрета трафика на основе исходного IP-адреса. Не забудьте указать диапазон IP-адресов в формате CIDR (бесклассовая междоменная маршрутизация), также известном как формат префикса адреса. Например, 10.1.0.0/8.

новая запись ACL

Вы можете использовать правила, чтобы разрешить только трафик с определенных компьютеров, соответствующих компьютерам в Интернете, или запретить трафик из определенных известных диапазонов адресов.

Правила оцениваются в порядке, начиная с первого правила и заканчивая последним правилом. Таким образом, правила должны быть упорядочены от наименее ограничивающих до наиболее строгих. Дополнительные сведения см. в разделе Что такое список управления доступом к сети.

Дальнейшие действия

  • Вы также можете создать конечную точку виртуальной машины с помощью интерфейса Command-LineAzure. Выполните команду для создания конечной точки виртуальной машины Azure.
  • Если вы создали виртуальную машину в модели развертывания Resource Manager, вы можете использовать Azure CLI в режиме Resource Manager, чтобы создавать группы безопасности сети для управления трафиком на виртуальную машину.