Vytvoření, změna nebo odstranění skupiny zabezpečení sítě

Pravidla zabezpečení ve skupinách zabezpečení sítě umožňují filtrovat typ síťového provozu, který může proudit do a z podsítí virtuální sítě a síťových rozhraní. Další informace o skupinách zabezpečení sítě najdete v tématu Přehled skupin zabezpečení sítě. Dále dokončete kurz Filtrování síťového provozu a získejte určité zkušenosti se skupinami zabezpečení sítě.

Než začnete

Pokud ho nemáte, nastavte si účet Azure s aktivním předplatným. Vytvořte si účet zdarma. Před zahájením zbývající části tohoto článku proveďte jednu z těchto úloh:

• Uživatelé portálu: Přihlaste se k Azure Portal pomocí svého účtu Azure.

• Uživatelé PowerShellu: Buď spusťte příkazy v Azure Cloud Shell, nebo spusťte PowerShell z počítače. Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít k provedení kroků v tomto článku. Má předinstalované obecné nástroje Azure, které jsou nakonfigurované pro použití s vaším účtem. Na kartě Azure Cloud Shell v prohlížeči vyhledejte rozevírací seznam Vybrat prostředí a pak vyberte PowerShell, pokud ještě není vybraný.

  Pokud používáte PowerShell místně, použijte Azure PowerShell verze 1.0.0 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu Get-Module -ListAvailable Az.Network. Pokud potřebujete upgrade, přečtěte si téma Instalace modulu Azure PowerShell. Spuštěním příkazu Connect-AzAccount vytvořte připojení k Azure.

• Uživatelé rozhraní příkazového řádku Azure (CLI): Buď spusťte příkazy v Azure Cloud Shell ,nebo spusťte rozhraní příkazového řádku z počítače. Pokud používáte Azure CLI místně, použijte Azure CLI verze 2.0.28 nebo novější. Nainstalovanou verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI. Spuštěním příkazu az login vytvořte připojení k Azure.

Účet, ke které se přihlásíte nebo se připojujete k Azure, musí být přiřazený k roli Přispěvatel sítě nebo vlastní roli, která má přiřazené příslušné akce uvedené v části Oprávnění.

Práce se skupinami zabezpečení sítě

Můžete vytvořit, zobrazit všechny, zobrazit podrobnostio , změnita odstranit skupinu zabezpečení sítě. Skupinu zabezpečení sítě můžete také přidružit nebo skupině zabezpečení sítě přidružit k síťovému rozhraní nebo podsíti.

Vytvoření skupiny zabezpečení sítě

Počet skupin zabezpečení sítě, které můžete vytvořit pro každé umístění a předplatné Azure, je limit. Další informace najdete v tématu Limity,kvóty a omezení předplatného a služeb Azure.

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

2. Vyberte Sítě a pak vyberte Skupina zabezpečení sítě.

3. Na stránce Vytvořit skupinu zabezpečení sítě na kartě Základy nastavte hodnoty pro následující nastavení:

   Nastavení	Akce
   Předplatné	Zvolte vaše předplatné.
   Skupina prostředků	Zvolte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou skupinu prostředků.
   Název	Zadejte jedinečný textový řetězec v rámci skupiny prostředků.
   Oblast	Zvolte umístění, které chcete.

4. Vyberte Zkontrolovat a vytvořit.

5. Jakmile se zobrazí zpráva Ověření bylo předáno, vyberte Vytvořit.

Příkazy

Zobrazit vše skupin zabezpečení sítě

Přejděte do Azure Portal a zobrazte skupiny zabezpečení sítě. Vyhledejte a vyberte Skupiny zabezpečení sítě. Zobrazí se seznam skupin zabezpečení sítě pro vaše předplatné.

Příkazy

Zobrazení podrobností o skupině zabezpečení sítě

1. Přejděte do Azure Portal a zobrazte skupiny zabezpečení sítě. Vyhledejte a vyberte Skupiny zabezpečení sítě.

2. Vyberte název skupiny zabezpečení sítě.

V řádku nabídek skupiny zabezpečení sítě můžete v části Nastavení zobrazit příchozí pravidla zabezpečení , odchozí pravidla zabezpečení, síťová rozhraní a podsítě, ke které je skupina zabezpečení sítě přidružená.

V části Monitorování můžete povolit nebo zakázat nastavení diagnostiky. V části Podpora a řešení potíží můžete zobrazit efektivní pravidla zabezpečení. Další informace najdete v tématu Protokolování diagnostiky pro skupinu zabezpečení sítě a Diagnostika problému s filtrováním síťového provozu virtuálního počítače.

Další informace o běžných nastaveních Azure najdete v následujících článcích:

• Protokol aktivit
• Řízení přístupu (IAM)
• Značky
• Zámky
• Automatizační skript

Příkazy

Změna skupiny zabezpečení sítě

1. Přejděte do Azure Portal a zobrazte skupiny zabezpečení sítě. Vyhledejte a vyberte Skupiny zabezpečení sítě.

2. Vyberte název skupiny zabezpečení sítě, kterou chcete změnit.

Nejběžnějšími změnami je přidánípravidla zabezpečení, odebrání pravidla apřidružení skupiny zabezpečení sítě k podsíti nebo síťovému rozhraní nebo jeho přidružení k této skupině.

Příkazy

Přidružení skupiny zabezpečení sítě k podsíti nebo síťovému rozhraní nebo jeho přidružení k této skupině

Pokud chcete přidružit skupinu zabezpečení sítě ke skupině zabezpečení sítě nebo ji přidružit k síťovému rozhraní, podívejte se na článek Přidružení skupiny zabezpečení sítě ke skupině zabezpečení sítě nebo jeho přidružení ke skupině zabezpečení sítě od síťového rozhraní. Informace o přidružení skupiny zabezpečení sítě k podsíti nebo jeho přidružení k podsíti najdete v tématu Změna nastavení podsítě.

Odstraní skupinu zabezpečení sítě.

Pokud je skupina zabezpečení sítě přidružená k žádným podsítím nebo síťovým rozhraním, nelze ji odstranit. Před pokusem o odstranění zrušte přidružení skupiny zabezpečení sítě ze všech podsítí a síťových rozhraní.

1. Chcete-li zobrazit skupiny zabezpečení sítě, otevřete Azure Portal . Vyhledejte a vyberte skupiny zabezpečení sítě.

2. Vyberte název skupiny zabezpečení sítě, kterou chcete odstranit.

3. Na panelu nástrojů skupiny zabezpečení sítě vyberte Odstranit. Potom v potvrzovacím dialogovém okně vyberte Ano .

Příkazy

Práce s pravidly zabezpečení

Skupina zabezpečení sítě obsahuje nula nebo více pravidel zabezpečení. Můžete vytvořit, Zobrazit všechny, Zobrazit podrobnosti o, změnita Odstranit pravidlo zabezpečení.

Vytvořit pravidlo zabezpečení

U každého umístění Azure a předplatného můžete vytvořit omezení počtu pravidel na skupinu zabezpečení sítě. Další informace najdete v tématu limity, kvóty a omezení předplatného a služeb Azure.

1. Chcete-li zobrazit skupiny zabezpečení sítě, otevřete Azure Portal . Vyhledejte a vyberte skupiny zabezpečení sítě.

2. Vyberte název skupiny zabezpečení sítě, do které chcete přidat pravidlo zabezpečení.

3. V řádku nabídek skupiny zabezpečení sítě vyberte příchozí pravidla zabezpečení nebo odchozí pravidla zabezpečení.

   Seznam obsahuje několik stávajících pravidel, včetně některých, které jste pravděpodobně nepřidali. Při vytváření skupiny zabezpečení sítě se v ní vytvoří několik výchozích pravidel zabezpečení. Další informace najdete v tématu výchozí pravidla zabezpečení. Výchozí pravidla zabezpečení nemůžete odstranit, ale můžete je přepsat pravidly, která mají vyšší prioritu.

4. Vyberte Přidat. Vyberte nebo přidejte hodnoty pro následující nastavení a pak vyberte OK:

   Nastavení	Hodnota	Podrobnosti
   Zdroj	Jedna z těchto: Jakýkoli IP adresy Značka služby (příchozí pravidlo zabezpečení) nebo VirtualNetwork (odchozí pravidlo zabezpečení) ** Skupina zabezpečení   aplikace**	Pokud zvolíte IP adresy, musíte zadat taky zdrojové IP adresy/rozsahy CIDR. Pokud zvolíte značku služby, můžete také vybrat značku zdrojové služby. Pokud zvolíte skupinu zabezpečení aplikace, musíte také vybrat existující skupinu zabezpečení aplikace. Pokud zvolíte skupinu zabezpečení aplikace pro zdroj i cíl, síťová rozhraní v obou skupinách zabezpečení aplikace musí být ve stejné virtuální síti.
   Zdrojové IP adresy/rozsahy CIDR	seznam IP adres a rozsahů technologie CIDR (Classless Interdomain Routing) (CIDR) oddělených čárkami	Toto nastavení se zobrazí, pokud změníte zdroj na IP adresy. Je nutné zadat jednu nebo čárkou oddělený seznam více hodnot. Příkladem více hodnot je 10.0.0.0/16, 192.188.1.1 . Existují omezení počtu hodnot, které můžete zadat. Další podrobnosti najdete v tématu omezení Azure. Pokud je zadaná IP adresa přiřazená k virtuálnímu počítači Azure, zadejte její privátní IP adresu, nikoli její veřejnou IP adresu. Azure zpracovává pravidla zabezpečení po překládání veřejné IP adresy na privátní IP adresu pro příchozí pravidla zabezpečení, ale předtím, než přeloží privátní IP adresu na veřejnou IP adresu pro odchozí pravidla. Další informace o veřejných a privátních IP adresách v Azure najdete v tématu typy IP adres.
   Značka zdrojové služby	Značka služby z rozevíracího seznamu	Toto volitelné nastavení se zobrazí, pokud nastavíte značku zdroj -služba pro příchozí pravidlo zabezpečení. Označení služby je předdefinovaný identifikátor pro kategorii IP adres. Další informace o dostupných značkách služby a o tom, co jednotlivé značky představují, najdete v tématu značky služeb.
   Skupina zabezpečení zdrojové aplikace	Existující skupina zabezpečení aplikace	Toto nastavení se zobrazí, pokud nastavíte možnost zdroj na skupinu zabezpečení aplikace. Vyberte skupinu zabezpečení aplikace, která existuje ve stejné oblasti jako síťové rozhraní. Naučte se vytvořit skupinu zabezpečení aplikace.
   Rozsahy zdrojových portů	Jedna z těchto: Jeden port, například 80 Rozsah portů, například 1024-65535 Čárkami oddělený seznam jednotlivých portů nebo rozsahů portů, například 80, 1024-65535 Hvězdička ( * ) pro povolení provozu na jakémkoli portu	Toto nastavení určuje porty, na kterých pravidlo povoluje nebo zakazuje provoz. Existují omezení počtu portů, které můžete zadat. Další podrobnosti najdete v tématu omezení Azure.
   Cíl	Jedna z těchto: Jakýkoli IP adresy Značka služby (pravidlo odchozího zabezpečení) nebo VirtualNetwork (příchozí pravidlo zabezpečení) ** Skupina zabezpečení   aplikace**	Pokud vyberete možnost IP adresy, zadejte také cílové IP adresy/rozsahy CIDR. Zvolíte-li možnost VirtualNetwork, bude provoz povolen pro všechny IP adresy v adresním prostoru virtuální sítě. VirtualNetwork je značka služby. Pokud vyberete skupinu zabezpečení aplikace, musíte vybrat existující skupinu zabezpečení aplikace. Naučte se vytvořit skupinu zabezpečení aplikace.
   Cílové IP adresy/rozsahy CIDR	Seznam IP adres a rozsahů CIDR oddělených čárkami	Toto nastavení se zobrazí, pokud změníte cíl na IP adresy. Podobně jako zdrojové a zdrojové IP adresy/rozsahy CIDR můžete zadat jednu nebo více adres nebo rozsahů. K dispozici jsou omezení pro číslo, které můžete zadat. Další podrobnosti najdete v tématu omezení Azure. Pokud se IP adresa, kterou zadáte, přiřadí virtuálnímu počítači Azure, ujistěte se, že zadáváte jeho privátní IP adresu, nikoli její veřejnou IP adresu. Azure zpracovává pravidla zabezpečení po překládání veřejné IP adresy na privátní IP adresu pro příchozí pravidla zabezpečení, ale před tím, než Azure převede privátní IP adresu na veřejnou IP adresu pro odchozí pravidla. Další informace o veřejných a privátních IP adresách v Azure najdete v tématu typy IP adres.
   Značka cílové služby	Značka služby z rozevíracího seznamu	Toto volitelné nastavení se zobrazí, pokud změníte cíl na tag Service pro pravidlo odchozího zabezpečení. Označení služby je předdefinovaný identifikátor pro kategorii IP adres. Další informace o dostupných značkách služby a o tom, co jednotlivé značky představují, najdete v tématu značky služeb.
   Cílová skupina zabezpečení aplikace	Existující skupina zabezpečení aplikace	Toto nastavení se zobrazí, pokud nastavíte Cíl na Skupina zabezpečení aplikace. Vyberte skupinu zabezpečení aplikace, která existuje ve stejné oblasti jako síťové rozhraní. Zjistěte, jak vytvořit skupinu zabezpečení aplikace.
   Rozsahy cílových portů	Jeden z těchto: Jeden port, například 80 Rozsah portů, například 1024-65535 Čárkami oddělený seznam jednotlivých portů a/nebo rozsahů portů, například 80, 1024-65535 Hvězdička ( * ) pro povolení provozu na libovolném portu	Stejně jako u rozsahů zdrojových portů můžete zadat jeden nebo více portů a rozsahů. Počet, který můžete zadat, je limit. Další podrobnosti najdete v tématu Limity Azure.
   Protokol	Všechny, TCP, UDP nebo ICMP	Pravidlo můžete omezit na protokol TCP (Transmission Control Protocol), UDP (User Datagram Protocol) nebo protokol ICMP (Internet Control Message Protocol). Ve výchozím nastavení se pravidlo použije na všechny protokoly.
   Akce	Povolit nebo Odepřít	Toto nastavení určuje, jestli toto pravidlo povoluje nebo odepírá přístup pro dodanou konfiguraci zdroje a cíle.
   Priorita	Hodnota mezi 100 a 4096, která je jedinečná pro všechna pravidla zabezpečení v rámci skupiny zabezpečení sítě	Azure zpracovává pravidla zabezpečení v pořadí podle priority. Čím nižší je číslo, tím vyšší je priorita. Při vytváření pravidel doporučujeme ponechat mezeru mezi čísly priority, například 100, 200 a 300. Ponechání mezer usnadňuje přidávání pravidel v budoucnu, abyste jim mohli dát vyšší nebo nižší prioritu než stávající pravidla.
   Název	Jedinečný název pravidla v rámci skupiny zabezpečení sítě	Název může mít až 80 znaků. Musí začínat písmenem nebo číslem a končí písmenem, číslem nebo podtržítkem. Název může obsahovat pouze písmena, číslice, podtržítka, tečky nebo spojovníky.
   Popis	Textový popis	Volitelně můžete zadat textový popis pravidla zabezpečení. Popis nesmí být delší než 140 znaků.

Příkazy

Zobrazit vše zabezpečení

Skupina zabezpečení sítě obsahuje nula nebo více pravidel. Další informace o informacích uvedených při zobrazení pravidel najdete v tématu Přehled skupin zabezpečení sítě.

1. Přejděte do Azure Portal a zobrazte pravidla skupiny zabezpečení sítě. Vyhledejte a vyberte Skupiny zabezpečení sítě.

2. Vyberte název skupiny zabezpečení sítě, pro kterou chcete zobrazit pravidla.

3. V řádku nabídek skupiny zabezpečení sítě zvolte Příchozí pravidla zabezpečení nebo Odchozí pravidla zabezpečení.

Seznam obsahuje pravidla, která jste vytvořili, a výchozí pravidla zabezpečení skupiny zabezpečení sítě.

Příkazy

Zobrazení podrobností pravidla zabezpečení

1. Přejděte do Azure Portal a zobrazte pravidla skupiny zabezpečení sítě. Vyhledejte a vyberte Skupiny zabezpečení sítě.

2. Vyberte název skupiny zabezpečení sítě, pro kterou chcete zobrazit podrobnosti o pravidle.

3. V řádku nabídek skupiny zabezpečení sítě zvolte Příchozí pravidla zabezpečení nebo Odchozí pravidla zabezpečení.

4. Vyberte pravidlo, pro které chcete zobrazit podrobnosti. Vysvětlení všech nastavení najdete v tématu Nastavení pravidel zabezpečení.

   Poznámka

   Tento postup se vztahuje pouze na vlastní pravidlo zabezpečení. Pokud zvolíte výchozí pravidlo zabezpečení, nefunguje to.

Příkazy

Změna pravidla zabezpečení

1. Proveďte kroky v tématu Zobrazení podrobností o pravidle zabezpečení.

2. Podle potřeby změňte nastavení a pak vyberte Uložit. Vysvětlení všech nastavení najdete v tématu Nastavení pravidel zabezpečení.

   Poznámka

   Tento postup se vztahuje pouze na vlastní pravidlo zabezpečení. Výchozí pravidlo zabezpečení není možné změnit.

Příkazy

Odstranění pravidla zabezpečení

1. Proveďte kroky v tématu Zobrazení podrobností o pravidle zabezpečení.

2. Vyberte Odstranit a potom vyberte Ano.

   Poznámka

   Tento postup se vztahuje pouze na vlastní pravidlo zabezpečení. Výchozí pravidlo zabezpečení není možné odstranit.

Příkazy

Práce se skupinami zabezpečení aplikace

Skupina zabezpečení aplikace obsahuje nula nebo více síťových rozhraní. Další informace najdete v tématu skupiny zabezpečení aplikací. Všechna síťová rozhraní ve skupině zabezpečení aplikace musí existovat ve stejné virtuální síti. Informace o přidání síťového rozhraní do skupiny zabezpečení aplikace najdete v tématu Přidání síťového rozhraní do skupiny zabezpečení aplikace.

Vytvoření skupiny zabezpečení aplikace

1. V nabídce webu Azure Portal nebo na domovské stránce vyberte Vytvořit prostředek.

2. Do vyhledávacího pole zadejte Skupina zabezpečení aplikace.

3. Na stránce Skupina zabezpečení aplikace vyberte Vytvořit.

4. Na stránce Vytvořit skupinu zabezpečení aplikace na kartě Základy nastavte hodnoty pro následující nastavení:

   Nastavení	Akce
   Předplatné	Zvolte vaše předplatné.
   Skupina prostředků	Zvolte existující skupinu prostředků nebo vyberte Vytvořit novou a vytvořte novou skupinu prostředků.
   Název	Zadejte jedinečný textový řetězec ve skupině prostředků.
   Oblast	Zvolte umístění, které chcete.

5. Vyberte Zkontrolovat a vytvořit.

6. Na kartě Zkontrolovat a vytvořit po zobrazení zprávy Ověření bylo úspěšně vybráno Vytvořit.

Příkazy

Zobrazit vše skupin zabezpečení aplikací

Přejděte do Azure Portal a zobrazte skupiny zabezpečení aplikace. Vyhledejte a vyberte Skupiny zabezpečení aplikace. V Azure Portal se zobrazí seznam skupin zabezpečení vaší aplikace.

Příkazy

Zobrazení podrobností o konkrétní skupině zabezpečení aplikace

1. Přejděte do Azure Portal a zobrazte skupinu zabezpečení aplikace. Vyhledejte a vyberte Skupiny zabezpečení aplikace.

2. Vyberte název skupiny zabezpečení aplikace, pro kterou chcete zobrazit podrobnosti.

Příkazy

Změna skupiny zabezpečení aplikace

1. Přejděte do Azure Portal a zobrazte skupinu zabezpečení aplikace. Vyhledejte a vyberte Skupiny zabezpečení aplikace.

2. Vyberte název skupiny zabezpečení aplikace, kterou chcete změnit.

3. Vedle nastavení, které chcete upravit, vyberte Změnit. Můžete například přidat nebo odebrat značky nebo změnit skupinu prostředků nebo předplatné.

   Poznámka

   Umístění nemůžete změnit.

   V řádku nabídek můžete také vybrat Řízení přístupu (IAM). Na stránce Řízení přístupu (IAM) můžete ke skupině zabezpečení aplikace přiřadit nebo odebrat oprávnění.

Příkazy

Odstranění skupiny zabezpečení aplikace

Skupinu zabezpečení aplikace nemůžete odstranit, pokud obsahuje nějaká síťová rozhraní. Pokud chcete ze skupiny zabezpečení aplikace odebrat všechna síťová rozhraní, změňte nastavení síťového rozhraní nebo odstraňte síťová rozhraní. Další informace najdete v tématu Přidání nebo odebrání ze skupin zabezpečení aplikace nebo Odstranění síťového rozhraní.

1. Přejděte do Azure Portal a spravujte skupiny zabezpečení aplikace. Vyhledejte a vyberte Skupiny zabezpečení aplikace.

2. Vyberte název skupiny zabezpečení aplikace, kterou chcete odstranit.

3. Vyberte Odstranit a pak výběrem Ano odstraňte skupinu zabezpečení aplikace.

Příkazy

Oprávnění

Pokud chcete provádět úlohy se skupinami zabezpečení sítě, pravidly zabezpečení a skupinami zabezpečení aplikací, musí být váš účet přiřazený k roli Přispěvatel sítě nebo vlastní roli, která má přiřazená příslušná oprávnění, jak je uvedeno v následujících tabulkách:

Skupina zabezpečení sítě

Pravidlo skupiny zabezpečení sítě

Skupina zabezpečení aplikace

Další kroky

• Vytvoření skupiny zabezpečení sítě nebo aplikace pomocí PowerShellu nebo ukázkových skriptů Azure CLI nebo šablon Azure správce prostředků
• Vytvoření a přiřazení definic Azure Policy pro virtuální sítě