Konfigurera en nätverkssäkerhetsgrupp för Azure Managed Lustre-filsystem
Nätverkssäkerhetsgrupper kan konfigureras för att filtrera inkommande och utgående nätverkstrafik till och från Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp kan innehålla säkerhetsregler som filtrerar nätverkstrafik efter IP-adress, port och protokoll. När en nätverkssäkerhetsgrupp är associerad med ett undernät tillämpas säkerhetsregler på resurser som distribueras i det undernätet.
Den här artikeln beskriver hur du konfigurerar regler för nätverkssäkerhetsgrupper för att skydda åtkomsten till ett Azure Managed Lustre-filsystemkluster som en del av en Nolltillit strategi.
Förutsättningar
- En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
- Ett virtuellt nätverk med ett undernät som har konfigurerats för att tillåta stöd för Azure Managed Lustre-filsystem. Mer information finns i Krav för nätverk.
- Ett Azure Managed Lustre-filsystem som distribuerats i din Azure-prenumeration. Mer information finns i Skapa ett Azure Managed Lustre-filsystem.
Skapa och konfigurera en nätverkssäkerhetsgrupp
Du kan använda en Azure-nätverkssäkerhetsgrupp för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.
Följ dessa steg för att skapa en nätverkssäkerhetsgrupp i Azure Portal:
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupper i sökresultaten.
Välj + Skapa.
På sidan Skapa nätverkssäkerhetsgrupp går du till fliken Grundläggande inställningar och anger eller väljer följande värden:
Inställning Åtgärd Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj en befintlig resursgrupp eller skapa en ny genom att välja Skapa ny. I det här exemplet används resursgruppen sample-rg . Instansinformation Namn på nätverkssäkerhetsgrupp Ange ett namn för den nätverkssäkerhetsgrupp som du skapar. Region Välj önskad region. 
Välj Granska + skapa.
När du har fått meddelandet Validering har skickats väljer du Skapa.
Associera nätverkssäkerhetsgruppen med ett undernät
När nätverkssäkerhetsgruppen har skapats kan du associera den med det unika undernätet i ditt virtuella nätverk där Azure Managed Lustre-filsystemet finns. Följ dessa steg om du vill associera nätverkssäkerhetsgruppen med ett undernät med hjälp av Azure Portal:
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på nätverkssäkerhetsgruppen och välj sedan Undernät.
Om du vill associera en nätverkssäkerhetsgrupp med undernätet väljer du + Associera och sedan ditt virtuella nätverk och det undernät som du vill associera nätverkssäkerhetsgruppen med. Välj OK.
Konfigurera regler för nätverkssäkerhetsgrupp
Om du vill konfigurera regler för nätverkssäkerhetsgrupp för Stöd för Azure Managed Lustre-filsystem kan du lägga till regler för inkommande och utgående säkerhet till den nätverkssäkerhetsgrupp som är associerad med undernätet där ditt Azure Managed Lustre-filsystem distribueras. I följande avsnitt beskrivs hur du skapar och konfigurerar de inkommande och utgående säkerhetsreglerna som tillåter stöd för Azure Managed Lustre-filsystem.
Kommentar
Säkerhetsreglerna som visas i det här avsnittet konfigureras baserat på en Testdistribution av Azure Managed Lustre-filsystem i regionen USA, östra, med Blob Storage-integrering aktiverat. Du måste justera reglerna baserat på distributionsregionen, IP-adressen för det virtuella nätverkets undernät och andra konfigurationsinställningar för Azure Managed Lustre-filsystemet.
Skapa regler för inkommande säkerhet
Du kan skapa inkommande säkerhetsregler i Azure Portal. I följande exempel visas hur du skapar och konfigurerar en ny inkommande säkerhetsregel:
- I Azure Portal öppnar du resursen för nätverkssäkerhetsgruppen som du skapade i föregående steg.
- Välj Inkommande säkerhetsregler under Inställningar.
- Markera + Lägg till.
- I fönstret Lägg till inkommande säkerhetsregel konfigurerar du inställningarna för regeln och väljer Lägg till.
Lägg till följande regler för inkommande trafik i nätverkssäkerhetsgruppen:
| Prioritet | Name | Portar | Protokoll | Källa | Mål | Åtgärd | beskrivning |
|---|---|---|---|---|---|---|---|
| 110 | rule-name | Valfri | Valfri | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | Tillåt | Tillåt protokoll- eller portflöden mellan värdar i Azure Managed Lustre-filsystemets undernät. Systemet använder t.ex. TCP-port 22 (SSH) för inledande distribution och konfiguration. |
| 111 | rule-name | 988, 1019-1023 | TCP | IP-adress/CIDR-intervall för Lustre-klientundernät | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | Tillåt | Tillåt kommunikation mellan Lustre-klientundernätet och undernätet för Azure Managed Lustre-filsystemet. Tillåter endast TCP-portarna 988 och 1019-1023 på källa och mål. |
| 112 | rule-name | Alla | TCP | AzureMonitor |
VirtualNetwork |
Tillåt | Tillåt inkommande flöden från AzureMonitor-tjänsttaggen. Tillåt endast TCP-källport 443. |
| 120 | rule-name | Valfri | Valfri | Valfri | Valfri | Neka | Neka alla andra inkommande flöden. |
De inkommande säkerhetsreglerna i Azure Portal bör se ut ungefär som följande skärmbild. Skärmbilden visas som ett exempel. i tabellen finns en fullständig lista över regler. Du bör justera undernätets IP-adress/CIDR-intervall och andra inställningar baserat på distributionen:
Skapa utgående säkerhetsregler
Du kan skapa utgående säkerhetsregler i Azure Portal. I följande exempel visas hur du skapar och konfigurerar en ny utgående säkerhetsregel:
- I Azure Portal öppnar du resursen för nätverkssäkerhetsgruppen som du skapade i ett tidigare steg.
- Under Inställningar väljer du Utgående säkerhetsregler.
- Markera + Lägg till.
- I fönstret Lägg till utgående säkerhetsregel konfigurerar du inställningarna för regeln och väljer Lägg till.
Lägg till följande regler för utgående trafik i nätverkssäkerhetsgruppen:
| Prioritet | Name | Portar | Protokoll | Källa | Mål | Åtgärd | beskrivning |
|---|---|---|---|---|---|---|---|
| 100 | rule-name | 443 | TCP | VirtualNetwork |
AzureMonitor |
Tillåt | Tillåt utgående flöden till AzureMonitor tjänsttaggen. Endast TCP-målport 443. |
| 101 | rule-name | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Tillåt | Tillåt utgående flöden till AzureKeyVault.EastUS tjänsttaggen. Endast TCP-målport 443. |
| 102 | rule-name | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Tillåt | Tillåt utgående flöden till AzureActiveDirectory tjänsttaggen. Endast TCP-målport 443. |
| 103 | rule-name | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Tillåt | Tillåt utgående flöden till Storage.EastUS tjänsttaggen. Endast TCP-målport 443. |
| 104 | rule-name | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Tillåt | Tillåter utgående flöden till GuestAndHybridManagement tjänsttaggen. Endast TCP-målport 443. |
| 105 | rule-name | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Tillåt | Tillåt utgående flöden till ApiManagement.EastUS tjänsttaggen. Endast TCP-målport 443. |
| 106 | rule-name | 443 | TCP | VirtualNetwork |
AzureDataLake |
Tillåt | Tillåt utgående flöden till AzureDataLake tjänsttaggen. Endast TCP-målport 443. |
| 107 | rule-name | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Tillåt | Tillåter utgående flöden till AzureResourceManager tjänsttaggen. Endast TCP-målport 443. |
| 108 | rule-name | 988, 1019-1023 | TCP | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | IP-adress/CIDR-intervall för Lustre-klientundernät | Tillåt | Tillåt utgående flöden för Azure Managed Lustre-filsystemet till Lustre-klienten. Tillåter endast TCP-portarna 988 och 1019-1023 på källa och mål. |
| 109 | rule-name | 123 | UDP | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | 168.61.215.74/32 | Tillåt | Tillåt utgående flöden till MS NTP-servern (168.61.215.74). ENDAST UDP-målport 123. |
| 110 | rule-name | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Tillåt | Tillåt utgående flöden till Azure Managed Lustre-telemetri (20.45.120.0/21). Endast TCP-målport 443. |
| 111 | rule-name | Valfri | Valfri | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | Tillåt | Tillåt protokoll- eller portflöden mellan värdar i Azure Managed Lustre-filsystemets undernät. Systemet använder t.ex. TCP-port 22 (SSH) för inledande distribution och konfiguration. |
| 112 | rule-name | 443 | TCP | VirtualNetwork |
EventHub |
Tillåt | Tillåter utgående flöden till EventHub tjänsttaggen. Endast TCP-målport 443. |
| 1000 | rule-name | Valfri | Valfri | VirtualNetwork |
Internet |
Neka | Neka utgående flöden till Internet. |
| 1010 | rule-name | Valfri | Valfri | Valfri | Valfri | Neka | Neka alla andra utgående flöden. |
De utgående säkerhetsreglerna i Azure Portal bör se ut ungefär som följande skärmbild. Skärmbilden visas som ett exempel. i tabellen finns en fullständig lista över regler. Du bör justera undernätets IP-adress/CIDR-intervall och andra inställningar baserat på distributionen:
Nästa steg
Mer information om Azure Managed Lustre finns i följande artiklar:
Mer information om Azure-nätverkssäkerhetsgrupper finns i följande artiklar: