Konfigurace nastavení sítě virtuálního počítače Azure

  • 5 min

Nainstalovali jsme vlastní software, nastavili FTP server a nakonfigurovali virtuální počítač pro příjem našich videosouborů. Pokud se však pokusíme připojit k naší veřejné IP adrese s využitím protokolu FTP, zjistíme, že je blokovaná.

Úpravy konfigurace serveru se běžně provádějí u vybavení v místním prostředí. V tomto smyslu můžete virtuální počítače Azure chápat jako rozšíření tohoto prostředí. Pomocí nástrojů Azure Portal, Azure CLI nebo Azure PowerShellu je možné mimo jiné provádět změny v konfiguraci, spravovat sítě a povolit nebo blokovat provoz.

S některými základními informacemi a možnostmi správy jste se seznámili již v panelu Přehled pro virtuální počítač. Pojďme se blíže seznámit s konfigurací sítě.

Otevření portů na virtuálních počítačích Azure

Ve výchozím nastavení jsou nové virtuální počítače uzamčeny.

Aplikace můžou provádět odchozí požadavky, ale jediný povolený příchozí provoz je z virtuální sítě (například z jiných prostředků ve stejné místní síti) a z Nástroje pro vyrovnávání zatížení Azure (kontroly sondy).

Pokud chcete upravit konfiguraci pro podporu protokolu FTP, jsou nutné dva kroky. Při vytváření nového virtuálního počítače můžete otevřít několik běžných portů (RDP, HTTP, HTTPS a SSH). Pokud ale potřebujete další změny brány firewall, budete je muset udělat sami.

Tento postup se skládá ze dvou kroků:

  1. Vytvoření skupiny zabezpečení sítě.
  2. Vytvořte příchozí pravidlo povolující provoz na portu 20 a 21 a získejte tak aktivní podporu FTP.

Co je skupina zabezpečení sítě?

Virtuální sítě jsou základem síťového modelu Azure a poskytují izolaci a ochranu. Skupiny zabezpečení sítě jsou hlavním nástrojem, který slouží ke kontrole dodržování pravidel síťového provozu na úrovni sítě. Skupiny zabezpečení sítě představují volitelnou vrstvu zabezpečení. Tato vrstva funguje jako softwarová brána firewall, která ve virtuální síti filtruje příchozí a odchozí provoz.

Skupiny zabezpečení můžete přidružit k síťovému rozhraní (pravidla pro jednotlivé hostitele), podsíti ve virtuální síti (pokud je chcete použít pro více prostředků) nebo k oběma úrovním.

Pravidla skupin zabezpečení

Skupiny zabezpečení sítě používají pravidla, která povolí nebo zakážou provoz v síti. Každé pravidlo má určenou zdrojovou a cílovou adresu (nebo rozsah), protokol, port (nebo rozsah), směr (příchozí nebo odchozí), číselně vyjádřenou prioritu a nastavení, jestli se má provoz, který odpovídá pravidlu, povolit nebo zakázat. Následující obrázek ukazuje pravidla NSG použitá na úrovni podsítě a síťového rozhraní.

Obrázek znázorňující architekturu skupin zabezpečení sítě ve dvou různých podsítích V jedné podsíti jsou dva virtuální počítače, z nichž každý má vlastní pravidla síťového rozhraní. Samotná podsíť má sadu pravidel, která platí pro oba virtuální počítače.

Každá skupina zabezpečení má sadu výchozích pravidel zabezpečení, která použijí výchozí pravidla sítě popsaná v předchozím úseku. Tato výchozí pravidla nemůžete upravit, ale můžete je přepsat.

Jak Azure používá síťová pravidla

Při příchozím provozu zpracuje Azure skupinu zabezpečení přidruženou k podsíti a pak skupinu zabezpečení použitou u síťového rozhraní. Odchozí provoz se zpracovává v opačném pořadí (napřed síťové rozhraní a potom podsíť).

Upozorňující

Nezapomeňte, že skupiny zabezpečení jsou na obou úrovních volitelné. Pokud není použita žádná skupina zabezpečení, Azure povolí veškerý provoz. Pokud má virtuální počítač veřejnou IP adresu, může to být vážné riziko, zejména pokud operační systém neposkytuje nějaký druh brány firewall.

Pravidla se vyhodnocují v pořadí podle priority počínaje pravidlem s nejnižší prioritou. Pravidla odmítnutí vyhodnocování vždy zastaví. Pokud například pravidlo síťového rozhraní zablokuje odchozí žádost, nekontrolují se pravidla použitá u podsítě. Aby provoz prošel skupinou zabezpečení, musí projít všemi použitými skupinami.

Posledním pravidlem je vždy pravidlo Zamítnout vše. Jde o výchozí pravidlo přidané do každé skupiny zabezpečení pro příchozí a odchozí provoz s prioritou 65500. To znamená, že provoz prochází skupinou zabezpečení, musíte mít pravidlo povolení nebo výchozí konečné pravidlo ho zablokuje. Přečtěte si další informace o pravidlech zabezpečení.

Poznámka:

SMTP (port 25) je zvláštní případ. V závislosti na úrovni předplatného a na vytvoření vašeho účtu může být odchozí provoz SMTP zablokovaný. Můžete požádat, aby toto omezení bylo v odůvodněných případech odebráno.