Konfigurera nätverksinställningar för virtuella Azure-datorer

  • 5 minuter

Vi har installerat vår anpassade programvara, konfigurerat en FTP-server och konfigurerat den virtuella datorn för att ta emot våra videofiler. Men om vi försöker ansluta till vår offentliga IP-adress med FTP kommer vi att upptäcka att den är blockerad.

Att göra justeringar i serverkonfigurationen utförs ofta med utrustning i din lokala miljö. I det här avseendet kan du betrakta virtuella Azure-datorer som ett tillägg till den miljön. Du kan göra konfigurationsändringar, hantera nätverk, öppna eller blockera trafik med mera via Azure-portalen, Azure CLI eller Azure PowerShell-verktyg.

Du har redan sett några av de grundläggande informations- och hanteringsalternativen i panelen Översikt för den virtuella datorn. Nu ska vi utforska nätverkskonfigurationen lite mer.

Öppna portar på virtuella Azure-datorer

Som standard är nya virtuella datorer låsta.

Appar kan göra utgående begäranden, men den enda inkommande trafik som tillåts är från det virtuella nätverket (till exempel andra resurser i samma lokala nätverk) och från Azures Load Balancer (avsökningskontroller).

Det finns två steg för att justera konfigurationen för att stödja FTP. När du skapar en ny virtuell dator har du möjlighet att öppna några vanliga portar (RDP, HTTP, HTTPS och SSH). Men om du behöver andra ändringar i brandväggen måste du göra dem själv.

Processen för detta omfattar två steg:

  1. Skapa en nätverkssäkerhetsgrupp.
  2. Skapa en regel för inkommande trafik som tillåter trafik på port 20 och 21 för aktivt FTP-stöd.

Vad är en nätverkssäkerhetsgrupp?

Virtuella nätverk (VNet) är grunden för Azure-nätverksmodellen och ger isolering och skydd. Nätverkssäkerhetsgrupper (NSG:er) är det viktigaste verktyget som du använder för att framtvinga och kontrollera regler för nätverkstrafik på nätverksnivå. NSG:er är ett valfritt säkerhetslager som tillhandahåller en programvarubrandvägg genom att filtrera inkommande och utgående trafik på det virtuella nätverket.

Säkerhetsgrupper kan associeras till ett nätverksgränssnitt (för regler per värd), ett undernät i det virtuella nätverket (för att gälla för flera resurser) eller båda nivåerna.

Regler för säkerhetsgrupper

NSG:er använder regler för att tillåta eller neka trafik som rör sig genom nätverket. Varje regel identifierar käll- och måladressen (eller intervallet), protokoll, port (eller intervall), riktning (inkommande eller utgående), en numerisk prioritet och om den trafik som matchar regeln ska tillåtas eller nekas. Följande bild visar NSG-regler som tillämpas på undernäts- och nätverksgränssnittsnivå.

Bild som visar arkitekturen för nätverkssäkerhetsgrupper i två olika undernät. I ett undernät finns det två virtuella datorer, var och en med sina egna regler för nätverksgränssnitt. Själva undernätet har en uppsättning regler som gäller för båda de virtuella datorerna.

Varje säkerhetsgrupp har en uppsättning standardsäkerhetsregler för att tillämpa standardnätverksregler som beskrivs i föregående avsnitt. Du kan inte ändra dessa standardregler, men du kan åsidosätta dem.

Så här använder Azure nätverksregler

För inkommande trafik bearbetar Azure den säkerhetsgrupp som är associerad med undernätet och sedan den säkerhetsgrupp som tillämpas på nätverksgränssnittet. Utgående trafik bearbetas i motsatt ordning (nätverksgränssnittet först följt av undernätet).

Varning

Tänk på att säkerhetsgrupper är valfria på båda nivåerna. Om ingen säkerhetsgrupp tillämpas tillåts all trafik av Azure. Om den virtuella datorn har en offentlig IP-adress kan det vara en allvarlig risk, särskilt om operativsystemet inte tillhandahåller någon form av brandvägg.

Reglerna utvärderas i prioritetsordning, med början från regeln med lägst prioritet . Nekande regler stoppar alltid utvärderingen. Om en utgående begäran till exempel blockeras av en nätverksgränssnittsregel kontrolleras inte några regler som tillämpas på undernätet. För att trafik ska tillåtas via säkerhetsgruppen måste den passera genom alla tillämpade grupper.

Den sista regeln är alltid en regel Neka alla. Det här är en standardregel som läggs till i varje säkerhetsgrupp för både inkommande och utgående trafik med prioriteten 65500. För att trafik ska kunna slussas igenom säkerhetsgruppen, måste du ha en tillåten regel, annars kommer standardregeln i slutändan blockera trafiken. Läs mer om säkerhetsregler.

Not

SMTP (port 25) är ett specialfall. Beroende på prenumerationsnivå och när ditt konto skapades kan utgående SMTP-trafik blockeras. Du kan göra en begäran om att ta bort den här begränsningen med affärsmotivering.