Skupiny zabezpečeníSecurity groups

Pomocí skupiny zabezpečení sítě můžete filtrovat síťový provoz do a z prostředků Azure ve virtuální síti Azure.You can filter network traffic to and from Azure resources in an Azure virtual network with a network security group. Skupina zabezpečení sítě obsahuje pravidla zabezpečení umožňující povolit nebo odepřít příchozí nebo odchozí síťový provoz několika typů prostředků Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Informace o prostředcích Azure, které je možné nasadit do virtuální sítě a ke kterým je možné přidružit skupiny zabezpečení sítě, najdete v tématu Integrace virtuální sítě pro služby Azure.To learn about which Azure resources can be deployed into a virtual network and have network security groups associated to them, see Virtual network integration for Azure services. Pro každé pravidlo můžete určit zdroj a cíl, port a protokol.For each rule, you can specify source and destination, port, and protocol.

Tento článek vysvětluje koncepty skupin zabezpečení sítě, které vám pomůžou je efektivně využívat.This article explains network security group concepts, to help you use them effectively. Pokud jste ještě nikdy skupinu zabezpečení sítě nevytvářeli, můžete si projít rychlý kurz, ve kterém se seznámíte s jejím vytvořením.If you've never created a network security group, you can complete a quick tutorial to get some experience creating one. Pokud už skupiny zabezpečení sítě znáte a potřebujete je spravovat, přečtěte si téma Správa skupiny zabezpečení sítě.If you're familiar with network security groups and need to manage them, see Manage a network security group. Pokud máte problémy s komunikací a potřebujete řešit potíže se skupinami zabezpečení sítě, přečtěte si téma Diagnostika potíží s filtrováním síťového provozu virtuálních počítačů.If you're having communication problems and need to troubleshoot network security groups, see Diagnose a virtual machine network traffic filter problem. Můžete povolit protokoly toků skupin zabezpečení sítě, abyste mohli analyzovat síťový provoz směřující do a z prostředků s přidruženou skupinou zabezpečení sítě.You can enable network security group flow logs to analyze network traffic to and from resources that have an associated network security group.

Pravidla zabezpečeníSecurity rules

Skupina zabezpečení sítě nemusí obsahovat žádná pravidla nebo může podle potřeby obsahovat libovolný počet pravidel v rámci omezení předplatného Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Každé pravidlo určuje následující vlastnosti:Each rule specifies the following properties:

VlastnostProperty VysvětleníExplanation
NameName Jedinečný název v rámci skupiny zabezpečení sítě.A unique name within the network security group.
PriorityPriority Číslo v rozsahu od 100 do 4096.A number between 100 and 4096. Pravidla se zpracovávají v pořadí podle priority, přičemž nižší čísla, která mají vyšší prioritu, se zpracovávají před vyššími čísly.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Jakmile provoz odpovídá pravidlu, zpracování se zastaví.Once traffic matches a rule, processing stops. V důsledku toho se nezpracují žádná existující pravidla s nižší prioritou (vyšší čísla), která mají stejné atributy jako pravidla s vyšší prioritou.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Zdroj nebo cílSource or destination Všechny nebo určitá IP adresa, blok CIDR (například 10.0.0.0/24), značka služby nebo skupina zabezpečení aplikace.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Pokud zadáváte adresu prostředku Azure, zadejte privátní IP adresu přiřazenou k tomuto prostředku.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Skupiny zabezpečení sítě se zpracovávají poté, co Azure přeloží veřejnou IP adresu na privátní IP adresu pro příchozí provoz, a před tím, než Azure přeloží privátní IP adresu na veřejnou IP adresu pro odchozí provoz.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. Další informace o IP adresách Azure.Learn more about Azure IP addresses. Zadání rozsahu, značky služby nebo skupiny zabezpečení aplikace umožňuje vytvářet méně pravidel zabezpečení.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Možnost zadat v pravidlu několik jednotlivých IP adres a rozsahů (není možné zadat více značek služeb ani skupin aplikací) se označuje jako rozšířená pravidla zabezpečení.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic není možné zadat více IP adres ani rozsahů IP adres.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model. Další informace o modelech nasazení Azure.Learn more about Azure deployment models.
ProtocolProtocol TCP, UDP, ICMP nebo Any.TCP, UDP, ICMP or Any.
DirectionDirection Určuje, jestli se pravidlo vztahuje na příchozí nebo odchozí provoz.Whether the rule applies to inbound, or outbound traffic.
Rozsah portůPort range Můžete zadat určitý port nebo rozsah portů.You can specify an individual or range of ports. Můžete zadat například 80 nebo 10000-10005.For example, you could specify 80 or 10000-10005. Zadání rozsahů umožňuje vytvářet méně pravidel zabezpečení.Specifying ranges enables you to create fewer security rules. Rozšířená pravidla zabezpečení je možné vytvářet pouze ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Ve skupinách zabezpečení sítě vytvořených prostřednictvím modelu nasazení Classic není možné zadat několik portů ani rozsahů portů ve stejném pravidlu zabezpečení.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ActionAction Povolení nebo odepření.Allow or deny

Pravidla zabezpečení skupin zabezpečení sítě se vyhodnocují podle priority s použitím informací o řazené kolekci 5 členů (zdroj, zdrojový port, cíl, cílový port a protokol) a určují, jestli se má provoz povolit nebo odepřít.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Pro stávající připojení se vytvoří záznam toku.A flow record is created for existing connections. Komunikace se povoluje nebo odepírá na základě stavu připojení v záznamu toku.Communication is allowed or denied based on the connection state of the flow record. Záznam toku umožňuje, aby skupina zabezpečení sítě byla stavová.The flow record allows a network security group to be stateful. Pokud zadáte odchozí pravidlo zabezpečení pro všechny adresy například přes port 80, není potřeba zadávat příchozí pravidlo zabezpečení pro reakci na odchozí provoz.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Příchozí pravidlo zabezpečení je potřeba zadat pouze v případě, že se komunikace zahajuje externě.You only need to specify an inbound security rule if communication is initiated externally. Opačně to platí také.The opposite is also true. Pokud je přes port povolený příchozí provoz, není potřeba zadávat odchozí pravidlo zabezpečení pro reakci na provoz přes tento port.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port. Pokud odeberete pravidlo zabezpečení, které povolilo tok, nesmí se přerušit žádné stávající připojení.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Toky provozu se přeruší v případě zastavení připojení a toku provozu oběma směry po dobu alespoň několika minut.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Počet pravidel zabezpečení, která můžete ve skupině zabezpečení sítě vytvořit, je omezený.There are limits to the number of security rules you can create in a network security group. Podrobnosti najdete v tématu věnovaném omezením Azure.For details, see Azure limits.

Rozšířená pravidla zabezpečeníAugmented security rules

Rozšířená pravidla zabezpečení zjednodušují definici zabezpečení pro virtuální sítě tím, že umožňují definovat větší a složitější zásady zabezpečení sítě při použití menšího počtu pravidel.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Můžete zkombinovat více portů a explicitních IP adres a rozsahů do jediného, snadno pochopitelného pravidla zabezpečení.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Rozšířená pravidla používejte v polích pravidla pro zdroj, cíl a port.Use augmented rules in the source, destination, and port fields of a rule. Pokud chcete zjednodušit údržbu definice pravidla zabezpečení, zkombinujte rozšířená pravidla zabezpečení se značkami služeb nebo skupinami zabezpečení aplikací.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Existují omezení počtu adres, rozsahů a portů, které lze zadat v pravidle.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Podrobnosti najdete v tématu věnovaném omezením Azure.For details, see Azure limits.

Značky služebService tags

Značka služby představuje skupinu předpon IP adres a tím pomáhá minimalizovat složitost vytváření pravidla zabezpečení.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Nemůžete vytvořit vlastní značku služby ani určit, které IP adresy jsou ve značce zahrnuté.You cannot create your own service tag, nor specify which IP addresses are included within a tag. Předpony adres zahrnuté ve značce služby spravuje Microsoft, a pokud se adresy změní, automaticky značku služby aktualizuje.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change. Značky služeb můžete používat místo konkrétních IP adres při vytváření pravidel zabezpečení.You can use service tags in place of specific IP addresses when creating security rules.

Následující značky služeb jsou k dispozici pro použití v pravidlech skupin zabezpečení sítě.The following service tags are available for use in network security groups rules. Značky služby s hvězdičkou na konci (tj. AzureCloud *) se dají použít i v Azure Firewallch síťových pravidel.Service tags with asterisk at the end (i.e. AzureCloud*) can also be used in Azure Firewall network rules.

  • VirtualNetwork (Správce prostředků) (VIRTUAL_NETWORK pro klasický): Tato značka zahrnuje adresní prostor virtuální sítě (všechny rozsahy CIDR definované pro virtuální síť), všechny připojené místní adresní prostory, partnerské virtuální sítě nebo virtuální sítě připojené k bráně virtuální sítě a adrese. předpony použité pro trasy definované uživatelemVirtualNetwork (Resource Manager) (VIRTUAL_NETWORK for classic): This tag includes the virtual network address space (all CIDR ranges defined for the virtual network), all connected on-premises address spaces, peered virtual networks or virtual network connected to a virtual network gateway and address prefixes used on user defined routes. Upozorňujeme, že tato značka může obsahovat výchozí trasu.Be aware that this tag may contain default route.
  • AzureLoadBalancer (Správce prostředků) (AZURE_LOADBALANCER pro klasický): Tato značka označuje Nástroj pro vyrovnávání zatížení infrastruktury Azure.AzureLoadBalancer (Resource Manager) (AZURE_LOADBALANCER for classic): This tag denotes Azure's infrastructure load balancer. Značka se přeloží na virtuální IP adresu hostitele (168.63.129.16), kde mají původ sondy stavu Azure.The tag translates to the Virtual IP address of the host (168.63.129.16) where Azure's health probes originate. Pokud nepoužíváte nástroj pro vyrovnávání zatížení Azure, můžete toto pravidlo přepsat.If you are not using the Azure load balancer, you can override this rule.
  • Internet (Správce prostředků) (Internet pro klasický): Tato značka označuje adresní prostor IP adres, který je mimo virtuální síť a dosažitelný veřejným internetem.Internet (Resource Manager) (INTERNET for classic): This tag denotes the IP address space that is outside the virtual network and reachable by the public Internet. Rozsah adres zahrnuje veřejný adresní prostor IP adres vlastněný Azure.The address range includes the Azure owned public IP address space.
  • AzureCloud* (jenom správce prostředků): Tato značka označuje adresní prostor IP adres pro Azure včetně všech veřejných IP adres Datacenter.AzureCloud* (Resource Manager only): This tag denotes the IP address space for Azure including all datacenter public IP addresses. Pokud jako hodnotu zadáte AzureCloud, provoz směřující na veřejné IP adresy Azure se povolí nebo zakáže.If you specify AzureCloud for the value, traffic is allowed or denied to Azure public IP addresses. Pokud chcete v konkrétní oblastijenom udělit přístup k AzureCloud, můžete zadat oblast v následujícím formátu AzureCloud. [název oblasti].If you only want to allow access to AzureCloud in a specific region, you can specify the region in the following format AzureCloud.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AzureTrafficManager* (jenom správce prostředků): Tato značka označuje adresní prostor IP adres pro IP adresy sondy Azure Traffic Manager.AzureTrafficManager* (Resource Manager only): This tag denotes the IP address space for the Azure Traffic Manager probe IP addresses. Další informace o IP adresách sondy pro Traffic Manager najdete v tématu Azure Traffic Manager – nejčastější dotazy.More information on Traffic Manager probe IP addresses can be found in the Azure Traffic Manager FAQ. Tato značka se doporučuje pro příchozí pravidlo zabezpečení.This tag is recommended for inbound security rule.
  • Úložiště* (jenom správce prostředků): Tato značka označuje adresní prostor IP adres pro službu Azure Storage.Storage* (Resource Manager only): This tag denotes the IP address space for the Azure Storage service. Pokud jako hodnotu zadáte Storage, provoz směřující do úložiště se povolí nebo zakáže.If you specify Storage for the value, traffic is allowed or denied to storage. Pokud chcete pouze přístup k úložišti v konkrétní oblasti, můžete zadat oblast v následujícím úložišti formátu. [název oblasti].If you only want to allow access to storage in a specific region, you can specify the region in the following format Storage.[region name]. Značka představuje službu, ale ne konkrétní instance služby.The tag represents the service, but not specific instances of the service. Značka například představuje službu Azure Storage, ale ne konkrétní účet služby Azure Storage.For example, the tag represents the Azure Storage service, but not a specific Azure Storage account. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • SQL* (pouze správce prostředků): Tato značka označuje předpony adres Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL a Azure SQL Data Warehouse služeb.Sql* (Resource Manager only): This tag denotes the address prefixes of the Azure SQL Database, Azure Database for MySQL, Azure Database for PostgreSQL, and Azure SQL Data Warehouse services. Pokud jako hodnotu zadáte SQL, provoz směřující do SQL se povolí nebo zakáže.If you specify Sql for the value, traffic is allowed or denied to Sql. Pokud chcete v konkrétní oblastijenom udělit přístup k SQL, můžete zadat oblast v následujícím formátu SQL. [název oblasti].If you only want to allow access to Sql in a specific region, you can specify the region in the following format Sql.[region name]. Značka představuje službu, ale ne konkrétní instance služby.The tag represents the service, but not specific instances of the service. Značka například představuje službu Azure SQL Database, ale ne konkrétní server nebo databázi SQL.For example, the tag represents the Azure SQL Database service, but not a specific SQL database or server. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AzureCosmosDB* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure Cosmos Database.AzureCosmosDB* (Resource Manager only): This tag denotes the address prefixes of the Azure Cosmos Database service. Pokud jako hodnotu zadáte AzureCosmosDB, provoz směřující do služby Azure Cosmos DB se povolí nebo zakáže.If you specify AzureCosmosDB for the value, traffic is allowed or denied to AzureCosmosDB. Pokud chcete povolit přístup ke službě Azure Cosmos DB pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: AzureCosmosDB.[název_oblasti].If you only want to allow access to AzureCosmosDB in a specific region, you can specify the region in the following format AzureCosmosDB.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AzureKeyVault* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure datatrezor.AzureKeyVault* (Resource Manager only): This tag denotes the address prefixes of the Azure KeyVault service. Pokud jako hodnotu zadáte AzureKeyVault, provoz směřující do služby Azure Key Vault se povolí nebo zakáže.If you specify AzureKeyVault for the value, traffic is allowed or denied to AzureKeyVault. Pokud chcete povolit přístup ke službě Azure Key Vault pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: AzureKeyVault.[název_oblasti].If you only want to allow access to AzureKeyVault in a specific region, you can specify the region in the following format AzureKeyVault.[region name]. Tato značka má závislost na značce azureactivedirectory selhala .This tag has dependency on the AzureActiveDirectory tag. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • EventHub* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure EventHub.EventHub* (Resource Manager only): This tag denotes the address prefixes of the Azure EventHub service. Pokud jako hodnotu zadáte EventHub, provoz směřující do služby Event Hubs se povolí nebo zakáže.If you specify EventHub for the value, traffic is allowed or denied to EventHub. Pokud chcete povolit přístup ke službě Event Hubs pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: EventHub.[název_oblasti].If you only want to allow access to EventHub in a specific region, you can specify the region in the following format EventHub.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • ServiceBus* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure ServiceBus s využitím úrovně Premium Service.ServiceBus* (Resource Manager only): This tag denotes the address prefixes of the Azure ServiceBus service using the Premium service tier. Pokud jako hodnotu zadáte ServiceBus, provoz směřující do služby Service Bus se povolí nebo zakáže.If you specify ServiceBus for the value, traffic is allowed or denied to ServiceBus. Pokud chcete povolit přístup ke službě Service Bus pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: ServiceBus.[název_oblasti].If you only want to allow access to ServiceBus in a specific region, you can specify the region in the following format ServiceBus.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • MicrosoftContainerRegistry* (jenom správce prostředků): Tato značka označuje předpony adresy služby Microsoft Container Registry.MicrosoftContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Microsoft Container Registry service. Pokud jako hodnotu zadáte MicrosoftContainerRegistry, provoz směřující do služby Microsoft Container Registry se povolí nebo zakáže.If you specify MicrosoftContainerRegistry for the value, traffic is allowed or denied to MicrosoftContainerRegistry. Pokud chcete povolit přístup ke službě Microsoft Container Registry pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: MicrosoftContainerRegistry.[název_oblasti].If you only want to allow access to MicrosoftContainerRegistry in a specific region, you can specify the region in the following format MicrosoftContainerRegistry.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AzureContainerRegistry* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure Container Registry.AzureContainerRegistry* (Resource Manager only): This tag denotes the address prefixes of the Azure Container Registry service. Pokud jako hodnotu zadáte AzureContainerRegistry, provoz směřující do služby Azure Container Registry se povolí nebo zakáže.If you specify AzureContainerRegistry for the value, traffic is allowed or denied to AzureContainerRegistry. Pokud chcete povolit přístup ke službě Azure Container Registry pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: AzureContainerRegistry.[název_oblasti].If you only want to allow access to AzureContainerRegistry in a specific region, you can specify the region in the following format AzureContainerRegistry.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AppService* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure AppService.AppService* (Resource Manager only): This tag denotes the address prefixes of the Azure AppService service. Pokud jako hodnotu zadáte AppService, provoz směřující do služby App Service se povolí nebo zakáže.If you specify AppService for the value, traffic is allowed or denied to AppService. Pokud chcete povolit přístup ke službě App Service pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: AppService.[název_oblasti].If you only want to allow access to AppService in a specific region, you can specify the region in the following format AppService.[region name]. Tato značka se doporučuje pro odchozí pravidlo zabezpečení pro WebApps front-endu.This tag is recommended for outbound security rule to WebApps frontends.
  • AppServiceManagement* (jenom správce prostředků): Tato značka označuje předpony adresy provozu správy pro App Service Environment vyhrazená nasazení.AppServiceManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for App Service Environment dedicated deployments. Pokud jako hodnotu zadáte AppServiceManagement, provoz směřující do služby pro správu služby App Service se povolí nebo zakáže.If you specify AppServiceManagement for the value, traffic is allowed or denied to AppServiceManagement. Tato značka se doporučuje pro pravidlo zabezpečení příchozí/odchozí.This tag is recommended for inbound/outbound security rule.
  • ApiManagement* (jenom správce prostředků): Tato značka označuje předpony adresy provozu správy pro APIM implementovaná nasazení.ApiManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for APIM dedicated deployments. Pokud jako hodnotu zadáte ApiManagement, provoz směřující do služby API Management se povolí nebo zakáže.If you specify ApiManagement for the value, traffic is allowed or denied to ApiManagement. Tato značka se doporučuje pro pravidlo zabezpečení příchozí/odchozí.This tag is recommended for inbound/outbound security rule.
  • AzureConnectors* (jenom správce prostředků): Tato značka označuje předpony adres konektorů Logic Apps pro připojení sondy a back-endu.AzureConnectors* (Resource Manager only): This tag denotes the address prefixes of the Logic Apps connectors for probe/backend connections. Pokud jako hodnotu zadáte AzureConnectors, provoz směřující do konektorů Azure se povolí nebo zakáže.If you specify AzureConnectors for the value, traffic is allowed or denied to AzureConnectors. Pokud chcete povolit přístup ke konektorům Azure pouze v konkrétní oblasti, můžete oblast zadat v následujícím formátu: AzureConnectors.[název_oblasti].If you only want to allow access to AzureConnectors in a specific region, you can specify the region in the following format AzureConnectors.[region name]. Tato značka se doporučuje pro příchozí pravidlo zabezpečení.This tag is recommended for inbound security rule.
  • GatewayManager (Jenom Správce prostředků): Tato značka označuje předpony adres provozu správy pro vyhrazená nasazení VPN/App Gateway.GatewayManager (Resource Manager only): This tag denotes the address prefixes of the management traffic for VPN/App Gateways dedicated deployments. Pokud jako hodnotu zadáte GatewayManager, provoz směřující do služby Správce brány se povolí nebo zakáže.If you specify GatewayManager for the value, traffic is allowed or denied to GatewayManager. Tato značka se doporučuje pro příchozí pravidlo zabezpečení.This tag is recommended for inbound security rule.
  • AzureDataLake* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azure Data Lake.AzureDataLake* (Resource Manager only): This tag denotes the address prefixes of the Azure Data Lake service. Pokud jako hodnotu zadáte AzureDataLake, provoz směřující do služby Azure Data Lake se povolí nebo zakáže.If you specify AzureDataLake for the value, traffic is allowed or denied to AzureDataLake. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • Azureactivedirectory selhala* (jenom správce prostředků): Tato značka označuje předpony adresy služby Azureactivedirectory selhala.AzureActiveDirectory* (Resource Manager only): This tag denotes the address prefixes of the AzureActiveDirectory service. Pokud jako hodnotu zadáte AzureActiveDirectory, provoz směřující do služby Azure Active Directory se povolí nebo zakáže.If you specify AzureActiveDirectory for the value, traffic is allowed or denied to AzureActiveDirectory. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AzureMonitor* (jenom správce prostředků): Tato značka označuje předpony adres Log Analytics, App Insights, AzMon a vlastní metriky (koncové body 4Gigový).AzureMonitor* (Resource Manager only): This tag denotes the address prefixes of the Log Analytics, App Insights, AzMon, and custom metrics (GiG endpoints). Pokud pro hodnotu zadáte AzureMonitor , provoz se povolí nebo odepře AzureMonitor.If you specify AzureMonitor for the value, traffic is allowed or denied to AzureMonitor. U Log Analytics má tato značka závislost na značce úložiště .For Log Analytics, this tag has dependency on the Storage tag. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • ServiceFabric* (jenom správce prostředků): Tato značka označuje předpony adresy služby ServiceFabric.ServiceFabric* (Resource Manager only): This tag denotes the address prefixes of the ServiceFabric service. Pokud pro hodnotu zadáte ServiceFabric , provoz se povolí nebo odepře ServiceFabric.If you specify ServiceFabric for the value, traffic is allowed or denied to ServiceFabric. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • AzureMachineLearning* (jenom správce prostředků): Tato značka označuje předpony adresy služby AzureMachineLearning.AzureMachineLearning* (Resource Manager only): This tag denotes the address prefixes of the AzureMachineLearning service. Pokud pro hodnotu zadáte AzureMachineLearning , provoz se povolí nebo odepře AzureMachineLearning.If you specify AzureMachineLearning for the value, traffic is allowed or denied to AzureMachineLearning. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • BatchNodeManagement* (jenom správce prostředků): Tato značka označuje předpony adresy provozu správy pro Azure Batch vyhrazená nasazení.BatchNodeManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Batch dedicated deployments. Pokud pro tuto hodnotu zadáte BatchNodeManagement , provoz se do výpočetních uzlů povolí nebo odepře službě Batch.If you specify BatchNodeManagement for the value, traffic is allowed or denied from the Batch service to compute nodes. Tato značka se doporučuje pro pravidlo zabezpečení příchozí/odchozí.This tag is recommended for inbound/outbound security rule.
  • AzureBackup* (jenom správce prostředků): Tato značka označuje předpony adresy služby AzureBackup.AzureBackup* (Resource Manager only): This tag denotes the address prefixes of the AzureBackup service. Pokud pro hodnotu zadáte AzureBackup , provoz se povolí nebo odepře AzureBackup.If you specify AzureBackup for the value, traffic is allowed or denied to AzureBackup. Tato značka má závislost na značce Storage a azureactivedirectory selhala . Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag has dependency on the Storage and AzureActiveDirectory tag.This tag is recommended for outbound security rule.
  • AzureActiveDirectoryDomainServices* (jenom správce prostředků): Tato značka označuje předpony adresy provozu správy pro Azure Active Directory Domain Services vyhrazená nasazení.AzureActiveDirectoryDomainServices* (Resource Manager only): This tag denotes the address prefixes of the management traffic for Azure Active Directory Domain Services dedicated deployments. Pokud pro hodnotu zadáte AzureActiveDirectoryDomainServices , provoz se povolí nebo odepře AzureActiveDirectoryDomainServices.If you specify AzureActiveDirectoryDomainServices for the value, traffic is allowed or denied to AzureActiveDirectoryDomainServices. Tato značka se doporučuje pro pravidlo zabezpečení příchozí/odchozí.This tag is recommended for inbound/outbound security rule.
  • SqlManagement* (jenom správce prostředků): Tato značka označuje předpony adres provozu správy pro nasazení ve vyhrazeném systému SQL.SqlManagement* (Resource Manager only): This tag denotes the address prefixes of the management traffic for SQL dedicated deployments. Pokud pro hodnotu zadáte SqlManagement , provoz se povolí nebo odepře SqlManagement.If you specify SqlManagement for the value, traffic is allowed or denied to SqlManagement. Tato značka se doporučuje pro pravidlo zabezpečení příchozí/odchozí.This tag is recommended for inbound/outbound security rule.
  • CognitiveServicesManagement (Jenom Správce prostředků): Tato značka označuje předpony adres přenosu pro Cognitive Services.CognitiveServicesManagement (Resource Manager only): This tag denotes the address prefixes of traffic for Cognitive Services. Pokud pro hodnotu zadáte CognitiveServicesManagement , provoz se povolí nebo odepře CognitiveServicesManagement.If you specify CognitiveServicesManagement for the value, traffic is allowed or denied to CognitiveServicesManagement. Tato značka se doporučuje pro odchozí pravidlo zabezpečení.This tag is recommended for outbound security rule.
  • Dynamics365ForMarketingEmail (Jenom Správce prostředků): Tato značka označuje předpony adres marketingové e-mailové služby Dynamics 365.Dynamics365ForMarketingEmail (Resource Manager only): This tag denotes the address prefixes of the marketing email service of Dynamics 365. Pokud pro hodnotu zadáte Dynamics365ForMarketingEmail , provoz se povolí nebo odepře Dynamics365ForMarketingEmail.If you specify Dynamics365ForMarketingEmail for the value, traffic is allowed or denied to Dynamics365ForMarketingEmail. Pokud chcete v konkrétní oblastijenom udělit přístup k Dynamics365ForMarketingEmail, můžete zadat oblast v následujícím formátu Dynamics365ForMarketingEmail. [název oblasti].If you only want to allow access to Dynamics365ForMarketingEmail in a specific region, you can specify the region in the following format Dynamics365ForMarketingEmail.[region name].
  • AzurePlatformDNS (Jenom Správce prostředků): Tato značka označuje DNS, což je základní služba infrastruktury.AzurePlatformDNS (Resource Manager only): This tag denotes DNS which is a basic infrastructure service. Pokud pro tuto hodnotu zadáte AzurePlatformDNS , můžete pro službu DNS zakázat výchozí aspekty platformy Azure .If you specify AzurePlatformDNS for the value, you can disable the default Azure platform consideration for DNS. Při používání této značky prosím buďte opatrní.Please take caution in using this tag. Před použitím této značky se doporučuje testování.Testing is recommended before using this tag.
  • AzurePlatformIMDS (Jenom Správce prostředků): Tato značka označuje IMDS, což je základní služba infrastruktury.AzurePlatformIMDS (Resource Manager only): This tag denotes IMDS which is a basic infrastructure service. Pokud pro tuto hodnotu zadáte AzurePlatformIMDS , můžete zakázat výchozí aspekty platformy Azure pro IMDS.If you specify AzurePlatformIMDS for the value, you can disable the default Azure platform consideration for IMDS. Při používání této značky prosím buďte opatrní.Please take caution in using this tag. Před použitím této značky se doporučuje testování.Testing is recommended before using this tag.
  • AzurePlatformLKM (Jenom Správce prostředků): Tato značka označuje licencování systému Windows nebo službu správy klíčů.AzurePlatformLKM (Resource Manager only): This tag denotes Windows licensing or key management service. Pokud pro tuto hodnotu zadáte AzurePlatformLKM , můžete zakázat výchozí aspekty platformy Azure pro licencování.If you specify AzurePlatformLKM for the value, you can disable the default Azure platform consideration for licensing. Při používání této značky prosím buďte opatrní.Please take caution in using this tag. Před použitím této značky se doporučuje testování.Testing is recommended before using this tag.

Poznámka

Značky služeb Azure označují předpony adres z konkrétního cloudu, který se používá.Service tags of Azure services denotes the address prefixes from the specific cloud being used.

Poznámka

Pokud implementujete koncový bod služby pro virtuální síť pro službu, jako je Azure Storage nebo Azure SQL Database, Azure pro tuto službu přidá trasu k podsíti virtuální sítě.If you implement a virtual network service endpoint for a service, such as Azure Storage or Azure SQL Database, Azure adds a route to a virtual network subnet for the service. Předpony adres pro trasu jsou stejné předpony adres nebo rozsahy CIDR jako u odpovídající značky služby.The address prefixes in the route are the same address prefixes, or CIDR ranges, as the corresponding service tag.

Značky služeb v místním prostředíService tags in on-premises

Můžete si stáhnout a integrovat s místní bránou firewall seznam značek služeb s podrobnostmi o následujících týdenních publikacích pro Azure Public, USA, Čínaa Německo .You can download and integrate with an on-premises firewall the list of service tags with prefix details on the following weekly publications for Azure Public, US government, China, and Germany clouds.

Tyto informace můžete také programově načíst pomocí rozhraní API zjišťování značek služby (Public Preview) – REST, Azure PowerShella Azure CLI.You can also programmatically retrieve this information using the Service Tag Discovery API (Public Preview) - REST, Azure PowerShell, and Azure CLI.

Poznámka

Následující týdenní publikace (stará verze) pro cloudy Azure Public, Čínaa Německo budou zastaralé 30. června 2020.Following weekly publications (old version) for Azure Public, China, and Germany clouds will be deprecated by June 30, 2020. Začněte používat aktualizované publikace, jak je popsáno výše.Please start using the updated publications as described above.

Výchozí pravidla zabezpečeníDefault security rules

Azure v každé skupině zabezpečení sítě, kterou vytvoříte, vytvoří následující výchozí pravidla:Azure creates the following default rules in each network security group that you create:

PříchozíInbound

AllowVNetInBoundAllowVNetInBound

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny AllowAllow

DenyAllInboundDenyAllInbound

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny OdepřítDeny

OdchozíOutbound

AllowVnetOutBoundAllowVnetOutBound

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 AnyAny AllowAllow

AllowVnetOutBoundAllowInternetOutBound

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 AnyAny AllowAllow

DenyAllOutBoundDenyAllOutBound

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 AnyAny OdepřítDeny

Ve sloupcích Zdroj a Cíl jsou hodnoty VirtualNetwork, AzureLoadBalancer a Internet značky služeb, a nikoli IP adresy.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Ve sloupci Protocol zahrnuje všechny protokoly TCP, UDP a ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Při vytváření pravidla můžete zadat TCP, UDP, ICMP nebo Any.When creating a rule, you can specify TCP, UDP, ICMP or Any. Hodnota 0.0.0.0/0 ve sloupcích Zdroj a Cíl představuje všechny adresy.0.0.0.0/0 in the Source and Destination columns represents all addresses. Klienti, jako je Azure Portal, Azure CLI nebo PowerShell, můžou pro tento výraz použít * nebo Any.Clients like Azure portal, Azure CLI, or Powershell can use * or any for this expression.

Výchozí pravidla nemůžete odebrat, ale můžete je přepsat vytvořením pravidel s vyšší prioritou.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Skupiny zabezpečení aplikacíApplication security groups

Skupiny zabezpečení aplikací umožňují konfigurovat zabezpečení sítě jako přirozené rozšíření struktury aplikace. Můžete seskupovat virtuální počítače a na základě těchto skupin definovat zásady zabezpečení sítě.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Zásady zabezpečení můžete opakovaně používat ve velkém měřítku bez potřeby ruční údržby explicitních IP adres.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. O složitost explicitních IP adres a několika skupin pravidel se stará platforma a vy se tak můžete zaměřit na obchodní logiku.The platform handles the complexity of explicit IP addresses and multiple rule sets, allowing you to focus on your business logic. Pro lepší pochopení skupin zabezpečení aplikací si představte následující příklad:To better understand application security groups, consider the following example:

Skupiny zabezpečení aplikací

Na předchozím obrázku jsou NIC1 a NIC2 členy skupiny zabezpečení aplikace AsgWeb.In the previous picture, NIC1 and NIC2 are members of the AsgWeb application security group. NIC3 je členem skupiny zabezpečení aplikace AsgLogic.NIC3 is a member of the AsgLogic application security group. NIC4 je členem skupiny zabezpečení aplikace AsgDb.NIC4 is a member of the AsgDb application security group. Přestože jsou všechna síťová rozhraní v tomto příkladu členy pouze jedné skupiny zabezpečení aplikace, síťové rozhraní může být členem více skupin zabezpečení aplikací, a to až do limitu daného omezeními Azure.Though each network interface in this example is a member of only one application security group, a network interface can be a member of multiple application security groups, up to the Azure limits. Žádné ze síťových rozhraní nemá přidruženou skupinu zabezpečení sítě.None of the network interfaces have an associated network security group. Skupina NSG1 je přidružená k oběma podsítím a obsahuje následující pravidla:NSG1 is associated to both subnets and contains the following rules:

Allow-HTTP-Inbound-InternetAllow-HTTP-Inbound-Internet

Toto pravidlo je potřeba k povolení provozu směřujícího z internetu na webové servery.This rule is needed to allow traffic from the internet to the web servers. Vzhledem k tomu, že výchozí pravidlo zabezpečení DenyAllInbound odepírá příchozí provoz z internetu, není pro skupiny zabezpečení aplikací AsgLogic a AsgDb potřeba žádné další pravidlo.Because inbound traffic from the internet is denied by the DenyAllInbound default security rule, no additional rule is needed for the AsgLogic or AsgDb application security groups.

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
100100 InternetInternet * AsgWebAsgWeb 8080 TCPTCP AllowAllow

Deny-Database-AllDeny-Database-All

Vzhledem k tomu, že výchozí pravidlo zabezpečení AllowVNetInBound povoluje veškerou komunikaci mezi prostředky ve stejné virtuální síti, je toto pravidlo potřeba k odepření provozu ze všech prostředků.Because the AllowVNetInBound default security rule allows all communication between resources in the same virtual network, this rule is needed to deny traffic from all resources.

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
120120 * * AsgDbAsgDb 14331433 AnyAny OdepřítDeny

Allow-Database-BusinessLogicAllow-Database-BusinessLogic

Toto pravidlo povoluje provoz ze skupiny zabezpečení aplikace AsgLogic do skupiny zabezpečení aplikace AsgDb.This rule allows traffic from the AsgLogic application security group to the AsgDb application security group. Priorita tohoto pravidla je vyšší než priorita pravidla Deny-Database-All.The priority for this rule is higher than the priority for the Deny-Database-All rule. Díky tomu se toto pravidlo zpracuje před pravidlem Deny-Database-All, takže se povolí provoz ze skupiny zabezpečení aplikace AsgLogic, zatímco veškerý ostatní provoz se zablokuje.As a result, this rule is processed before the Deny-Database-All rule, so traffic from the AsgLogic application security group is allowed, whereas all other traffic is blocked.

PriorityPriority SourceSource Zdrojové portySource ports CílDestination Cílové portyDestination ports ProtocolProtocol AccessAccess
110110 AsgLogicAsgLogic * AsgDbAsgDb 14331433 TCPTCP AllowAllow

Pravidla určující skupinu zabezpečení aplikace jako zdroj nebo cíl se použijí pouze na síťová rozhraní, která jsou členy příslušné skupiny zabezpečení aplikace.The rules that specify an application security group as the source or destination are only applied to the network interfaces that are members of the application security group. Pokud síťové rozhraní není členem žádné skupiny zabezpečení aplikace, pravidlo se pro něj nepoužije, ani když je k podsíti přiřazená skupina zabezpečení sítě.If the network interface is not a member of an application security group, the rule is not applied to the network interface, even though the network security group is associated to the subnet.

Pro skupiny zabezpečení aplikací platí následující omezení:Application security groups have the following constraints:

  • Počet skupin zabezpečení aplikací, které můžete mít v předplatném, je omezený. V souvislosti se skupinami zabezpečení aplikací platí také další omezení.There are limits to the number of application security groups you can have in a subscription, as well as other limits related to application security groups. Podrobnosti najdete v tématu věnovaném omezením Azure.For details, see Azure limits.
  • Jako zdroj a cíl můžete v pravidlu zabezpečení zadat jednu skupinu zabezpečení aplikace.You can specify one application security group as the source and destination in a security rule. Více skupin zabezpečení aplikací ve zdroji ani cíli zadat nemůžete.You cannot specify multiple application security groups in the source or destination.
  • Všechna síťová rozhraní přiřazená ke skupině zabezpečení aplikace musí existovat ve stejné virtuální síti jako první síťové rozhraní přiřazené ke skupině zabezpečení aplikace.All network interfaces assigned to an application security group have to exist in the same virtual network that the first network interface assigned to the application security group is in. Pokud se například první síťové rozhraní přiřazené ke skupině zabezpečení aplikace AsgWeb nachází ve virtuální síti VNet1, pak všechna další síťová rozhraní přiřazená ke skupině zabezpečení aplikace ASGWeb musí existovat ve virtuální síti VNet1.For example, if the first network interface assigned to an application security group named AsgWeb is in the virtual network named VNet1, then all subsequent network interfaces assigned to ASGWeb must exist in VNet1. Do stejné skupiny zabezpečení aplikace nemůžete přidat síťová rozhraní z různých virtuálních sítí.You cannot add network interfaces from different virtual networks to the same application security group.
  • Pokud zadáte skupinu zabezpečení aplikací jako zdroj a cíl v pravidle zabezpečení, síťová rozhraní v obou skupinách zabezpečení aplikací musí existovat ve stejné virtuální síti.If you specify an application security group as the source and destination in a security rule, the network interfaces in both application security groups must exist in the same virtual network. Kdyby například skupina AsgLogic obsahovala síťová rozhraní z virtuální sítě VNet1 a skupina AsgDb obsahovala síťová rozhraní z virtuální sítě VNet2, nemohli byste v pravidle přiřadit skupinu AsgLogic jako zdroj a skupinu AsgDb jako cíl.For example, if AsgLogic contained network interfaces from VNet1, and AsgDb contained network interfaces from VNet2, you could not assign AsgLogic as the source and AsgDb as the destination in a rule. Všechna síťová rozhraní pro zdrojové i cílové skupiny zabezpečení aplikací musí existovat ve stejné virtuální síti.All network interfaces for both the source and destination application security groups need to exist in the same virtual network.

Tip

Pokud chcete minimalizovat počet potřebných pravidel zabezpečení a nutnost jejich změn, naplánujte potřebné skupiny zabezpečení aplikací a vytvářejte pravidla s použitím značek služeb nebo skupin zabezpečení aplikací, a ne jednotlivých IP adres nebo rozsahů IP adres, pokud je to možné.To minimize the number of security rules you need, and the need to change the rules, plan out the application security groups you need and create rules using service tags or application security groups, rather than individual IP addresses, or ranges of IP addresses, whenever possible.

Způsob vyhodnocování provozuHow traffic is evaluated

Do virtuální sítě Azure můžete nasadit prostředky z několika služeb Azure.You can deploy resources from several Azure services into an Azure virtual network. Úplný seznam najdete v tématu popisujícím služby, které je možné nasadit do virtuální sítě.For a complete list, see Services that can be deployed into a virtual network. Ke každé podsíti virtuální sítě a každému síťovému rozhraní na virtuálním počítači můžete přiřadit jednu nebo žádnou skupinu zabezpečení sítě.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Stejnou skupinu zabezpečení sítě můžete přidružit k libovolnému počtu podsítí a síťových rozhraní.The same network security group can be associated to as many subnets and network interfaces as you choose.

Následující obrázek ukazuje různé scénáře nasazení skupin zabezpečení sítě pro povolení síťového provozu do a z internetu na portu TCP 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

Zpracování NSG

Předchozí obrázek společně s následujícím textem vám pomůže porozumět způsobu, jakým Azure zpracovává příchozí a odchozí pravidla pro skupiny zabezpečení sítě:Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Příchozí provozInbound traffic

V případě příchozího provozu zpracuje Azure nejprve pravidla ve skupině zabezpečení sítě přidružené k příslušné podsíti, pokud taková skupina existuje, a pak pravidla ve skupině zabezpečení sítě přidružené k síťovému rozhraní, pokud taková skupina existuje.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: Pravidla zabezpečení v NSG1 se zpracovávají, protože jsou přidružená k Subnet1 a VM1 je v Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Pokud jste nevytvořili pravidlo povolující příchozí provoz na portu 80, výchozí pravidlo zabezpečení DenyAllInbound provoz odepře a skupina NSG2 ho nikdy nevyhodnotí, protože skupina NSG2 je přidružená k síťovému rozhraní.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Pokud skupina NSG1 obsahuje pravidlo zabezpečení povolující port 80, provoz se pak zpracuje skupinou NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Pokud pro virtuální počítač chcete povolit příchozí provoz přes port 80, skupina NSG1 i NSG2 musí obsahovat pravidlo povolující příchozí provoz přes port 80 z internetu.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: Pravidla v NSG1 se zpracovávají, protože VM2 je také v Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Vzhledem k tomu, že k síťovému rozhraní virtuálního počítače VM2 není přidružená žádná skupina zabezpečení sítě, přijme toto rozhraní veškerý provoz povolený skupinou NSG1 nebo se mu odepře veškerý provoz zakázaný skupinou NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Pokud je skupina zabezpečení sítě přidružená k podsíti, povolí se nebo se odepře provoz do všech prostředků ve stejné podsíti.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: Vzhledem k tomu, že k podsíť subnet2není přidružená žádná skupina zabezpečení sítě, je provoz povolený v podsíti a zpracovává je NSG2, protože NSG2 je přidružená k síťovému rozhraní připojenému k VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: Provoz je povolený pro VM4, protože skupina zabezpečení sítě není přidružená k Subnet3nebo síťovému rozhraní ve virtuálním počítači.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Pokud k podsíti a síťovému rozhraní není přidružená žádná skupina zabezpečení sítě, povolí se přes ně průchod veškerého síťového provozu.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Odchozí provozOutbound traffic

V případě odchozího provozu zpracuje Azure nejprve pravidla ve skupině zabezpečení sítě přidružené k příslušnému síťovému rozhraní, pokud taková skupina existuje, a pak pravidla ve skupině zabezpečení sítě přidružené k podsíti, pokud taková skupina existuje.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: Pravidla zabezpečení v NSG2 jsou zpracovávána.VM1: The security rules in NSG2 are processed. Pokud nevytvoříte pravidlo zabezpečení zakazující odchozí provoz přes port 80 do internetu, výchozí pravidlo zabezpečení AllowInternetOutbound ve skupině NSG1 i NSG2 provoz povolí.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Pokud skupina NSG2 obsahuje pravidlo zabezpečení zakazující port 80, provoz se odepře a skupina NSG1 ho nikdy nevyhodnotí.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Pokud chcete na virtuálním počítači zakázat odchozí provoz přes port 80, jedna ze skupin zabezpečení sítě nebo obě musí obsahovat pravidlo zakazující odchozí provoz přes port 80 do internetu.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: Veškerý provoz se prostřednictvím síťového rozhraní odesílá do podsítě, protože síťové rozhraní připojené k VM2 nemá přidruženou skupinu zabezpečení sítě.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Zpracují se pravidla ve skupině NSG1.The rules in NSG1 are processed.
  • VM3: Pokud má NSG2 pravidlo zabezpečení, které zakazuje port 80, přenos se zamítne.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Pokud skupina NSG2 obsahuje pravidlo zabezpečení povolující port 80, povolí se odchozí provoz přes port 80 do internetu, protože k podsíti Subnet2 není přidružená žádná skupina zabezpečení sítě.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: Veškerý síťový provoz je povolený z VM4, protože skupina zabezpečení sítě není přidružená k síťovému rozhraní připojenému k virtuálnímu počítači nebo k Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Agregovaná pravidla použitá na síťové rozhraní můžete snadno zobrazit v platných pravidlech zabezpečení pro síťové rozhraní.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Pomocí funkce Ověření toku protokolu IP v nástroji Azure Network Watcher můžete také určit, jestli je povolená komunikace směřující do síťového rozhraní nebo z něj.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Ověření toku protokolu IP vám řekne, jestli je povolená nebo zakázaná komunikace, a které pravidlo zabezpečení sítě povoluje nebo odepírá provoz.IP flow verify tells you whether communication is allowed or denied, and which network security rule allows or denies the traffic.

Poznámka

Skupiny zabezpečení sítě jsou přidruženy k podsítím nebo virtuálním počítačům a cloudovým službám nasazeným v modelu nasazení Classic a k podsítím nebo síťovým rozhraním v modelu nasazení Správce prostředků.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Další informace o modelech nasazení Azure najdete v článku Vysvětlení modelů nasazení Azure.To learn more about Azure deployment models, see Understand Azure deployment models.

Tip

Pokud k tomu nemáte konkrétní důvod, doporučujeme přidružit skupinu zabezpečení sítě k podsíti nebo k síťovému rozhraní, ale ne k oběma.Unless you have a specific reason to, we recommended that you associate a network security group to a subnet, or a network interface, but not both. Vzhledem k tomu, že může docházet ke konfliktům mezi pravidly ve skupině zabezpečení sítě přidružené k podsíti a pravidly ve skupině zabezpečení sítě přidružené k síťovému rozhraní, můžou nastat neočekávané problémy s komunikací vyžadující řešení.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Důležité informace o platformě AzureAzure platform considerations

  • Virtuální IP adresa uzlu hostitele: Základní služby infrastruktury, jako jsou DHCP, DNS, IMDS a sledování stavu, se poskytují prostřednictvím virtualizované IP adresy hostitele 168.63.129.16 a 169.254.169.254.Virtual IP of the host node: Basic infrastructure services such as DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Tyto IP adresy patří společnosti Microsoft a jsou jediné virtualizované IP adresy, které se používají ve všech oblastech pro tento účel.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose.

  • Licencování (služba správy klíčů) : Bitové kopie systému Windows spuštěné ve virtuálních počítačích musí být licencované.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Aby se zajistilo licencování, odesílají se žádosti o licenci na hostitelské servery Služby správy klíčů, které takové dotazy zpracovávají.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Požadavek odchází přes port 1688.The request is made outbound through port 1688. Pro nasazení využívající konfiguraci výchozí trasy 0.0.0.0/0 bude toto pravidlo platformy zakázané.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Virtuální počítače ve fondech s vyrovnáváním zatížení: Použitý zdrojový port a rozsah adres pocházejí z počítače, který není nástrojem pro vyrovnávání zatížení.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Cílový port a rozsah adres odpovídá cílovému počítači, a nikoli nástroji pro vyrovnávání zatížení.The destination port and address range are for the destination computer, not the load balancer.

  • Instance služby Azure: Instance několika služeb Azure, jako je HDInsight, prostředí aplikačních služeb a Virtual Machine Scale Sets, jsou nasazené v podsítích virtuální sítě.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Úplný seznam služeb, které můžete nasadit do virtuální sítě, najdete v tématu Virtuální síť pro služby Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Před použitím skupiny zabezpečení sítě na podsíť, ve které je nasazený prostředek, se ujistěte, že znáte požadavky jednotlivých služeb na porty.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Pokud odepřete porty, které služba vyžaduje, nebude správně fungovat.If you deny ports required by the service, the service doesn't function properly.

  • Odesílání odchozího e-mailu: Společnost Microsoft doporučuje používat ověřené služby SMTP relay (obvykle připojené přes port TCP 587, ale často i jiné) k posílání e-mailů z Azure Virtual Machines.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Služby pro přenos přes protokol SMTP se specializují na reputaci odesílatele, aby se minimalizovala možnost odmítnutí zpráv poskytovateli e-mailu třetích stran.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Mezi takové služby pro přenos přes protokol SMTP patří mimo jiné Exchange Online Protection a SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Používání služeb pro přenos přes protokol SMTP v Azure není nijak omezeno, a to bez ohledu na typ předplatného.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Pokud jste své předplatné Azure vytvořili před 15. listopadem 2017, kromě možnosti používat služby pro přenos přes protokol SMTP můžete e-maily odesílat také přímo přes port TCP 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Pokud jste své předplatné vytvořili po 15. listopadu 2017, možná nebudete moci odesílat e-maily přímo přes port 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Chování odchozí komunikace přes port 25 závisí na typu vašeho předplatného, a to následujícím způsobem:The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Smlouva Enterprise: Odchozí komunikace portu 25 je povolena.Enterprise Agreement: Outbound port 25 communication is allowed. Odchozí emaily můžete z virtuálních počítačů odesílat přímo externím poskytovatelům e-mailu bez jakýchkoli omezení platformy Azure.You are able to send outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Průběžné platby: Odchozí komunikace portu 25 je blokována ze všech prostředků.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Pokud potřebujete odesílat e-maily z virtuálního počítače přímo externím poskytovatelům e-mailu (bez použití přenosu přes zabezpečený protokol SMTP), můžete vytvořit žádost o odebrání tohoto omezení.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Žádosti se posuzují a schvalují na základě vlastního uvážení Microsoftu a vyhoví se jim pouze po provedení kontrol v souvislosti s možnými podvody.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Pokud chcete vytvořit žádost, otevřete případ podpory s typem problému Technický, Možnosti připojení k virtuální síti, Nelze odesílat e-maily (SMTP/port 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Do případu podpory zahrňte podrobnosti o tom, proč vaše předplatné potřebuje odesílat e-maily přímo poskytovatelům e-mailu místo používání přenosu přes ověřený protokol SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Pokud má vaše předplatné výjimku, odchozí komunikace přes port 25 jsou schopné pouze virtuální počítače vytvořené po datu udělení výjimky.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, systém Azure v rámci licenčního programu Open, vzdělávání, BizSpark a bezplatná zkušební verze: Odchozí komunikace portu 25 je blokována ze všech prostředků.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Není možné vytvořit žádost o odebrání omezení, protože takovým žádostem se nevyhovuje.No requests to remove the restriction can be made, because requests are not granted. Pokud z virtuálního počítače potřebujete odesílat e-maily, musíte k tomu použít službu pro přenos přes protokol SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Poskytovatel cloudové služby: Zákazníci, kteří využívají prostředky Azure prostřednictvím poskytovatele cloudové služby, můžou vytvořit případ podpory s poskytovatelem cloudových služeb a požádat ho, aby poskytovatel při odblokování vytvořil pro uživatele případ odblokování, pokud nelze použít zabezpečený přenos SMTP.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Pokud vám Azure povolí odesílat e-maily přes port 25, Microsoft nemůže zaručit přijetí příchozích e-mailů z vašeho virtuálního počítače poskytovateli e-mailu.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Pokud konkrétní poskytovatel odmítá e-maily z vašeho virtuálního počítače, spolupracujte přímo s daným poskytovatelem a vyřešte případné problémy s doručováním zpráv nebo filtrováním nevyžádané pošty, nebo použijte službu pro přenos přes ověřený protokol SMTP.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Další krokyNext steps