Hálózatkezelés azure-beli virtuálisgép-méretezési csoportokhoz

Amikor azure-beli virtuálisgép-méretezési csoportot helyez üzembe a portálon keresztül, bizonyos hálózati tulajdonságok alapértelmezés szerint be vannak állítva, például egy bejövő NAT-szabályokkal rendelkező Azure Load Balancer. Ez a cikk azt ismerteti, hogyan használhatja a méretezési csoportokkal konfigurálható speciális hálózatkezelési szolgáltatásokat.

Az ebben a cikkben ismertetett összes szolgáltatás konfigurálható az Azure Resource Manager-sablonok használatával. Egyes szolgáltatások esetében az Azure CLI-hez és PowerShellhez is találhat példákat.

Accelerated Networking

Az Azure Gyorsított hálózatkezelés javítja a hálózati teljesítményt azáltal, hogy engedélyezi az egygyökerű I/O-virtualizálást (SR-IOV) a virtuális gépekre. A Gyorsított hálózatkezelésről további információt a Windows vagy Linux rendszerű virtuális gépek Gyorsított hálózatkezelésével foglalkozó cikkben talál. Ha a gyorsított hálózatkezelést méretezési csoportokkal szeretné használni, állítsa az enableAcceleratedNetworking tulajdonságot true értékre a méretezési csoport networkInterfaceConfigurations beállításaiban. Például:

"networkProfile": {
    "networkInterfaceConfigurations": [
    {
      "name": "niconfig1",
      "properties": {
        "primary": true,
        "enableAcceleratedNetworking" : true,
        "ipConfigurations": [
          ...
        ]
      }
    }
   ]
}

Azure-beli virtuálisgép-méretezési csoportok az Azure Load Balancerrel

Az Azure Load Balancer és a virtuálisgép-méretezési csoportok című cikkből megtudhatja, hogyan konfigurálhatja a Standard Load Balancert virtuálisgép-méretezési csoportokkal a forgatókönyve alapján.

Virtuálisgép-méretezési csoport hozzáadása egy Application Gatewayhez

Ha méretezési csoportot szeretne hozzáadni egy Application Gateway háttérkészletéhez, hivatkozzon az Application Gateway háttérkészletére a méretezési csoport hálózati profiljában. Ez a méretezési csoport létrehozásakor (lásd alább az ARM-sablont) vagy egy meglévő méretezési csoporton végezhető el.

Egységes vezénylési virtuálisgép-méretezési csoportok hozzáadása egy Application Gatewayhez

Ha egységes virtuálisgép-méretezési csoportokat ad hozzá az Application Gateway háttérkészletéhez, a folyamat az új vagy meglévő méretezési csoportok esetében eltérő lesz:

• Új méretezési csoportok esetén hivatkozzon az Application Gateway háttérkészlet-azonosítójára a méretezési csoportmodell hálózati profiljában egy vagy több hálózati adapter IP-konfigurációja alatt. Üzembe helyezéskor a méretezési csoporthoz hozzáadott példányok az Application Gateway háttérkészletében lesznek elhelyezve.
• Meglévő méretezési csoportok esetén először adja hozzá az Application Gateway háttérkészlet-azonosítóját a méretezési csoportmodell hálózati profiljához, majd alkalmazza a modellt a meglévő példányokra egy frissítéssel. Ha a méretezési csoport frissítési szabályzata vagy AutomaticRolling, a példányok frissülnek. Ha igen Manual, manuálisan kell frissítenie a példányokat.

Portal

1. Hozzon létre egy Application Gateway- és háttérkészletet a méretezési csoporthoz hasonló régióban, ha még nincs ilyen
2. Navigáljon a virtuálisgép-méretezési csoporthoz a portálon
3. A Gépház alatt nyissa meg a Hálózatkezelés panelt
4. A Hálózatkezelés panelen válassza a Terheléselosztás lapot, és kattintson a Terheléselosztás hozzáadása elemre
5. Válassza az Application Gatewayt a Terheléselosztási beállítások legördülő listából, és válasszon egy meglévő Application Gatewayt
6. Válassza ki a cél háttérkészletet, és kattintson a Mentés gombra
7. Ha a méretezési csoport frissítési szabályzata "Manuális", lépjen a Gépház> Instances panelre az egyes példányok kiválasztásához és frissítéséhez

PowerShell

    $appGW = Get-AzApplicationGateway -Name <appGWName> -ResourceGroup <AppGWResourceGroupName>
    $backendPool = Get-AzApplicationGatewayBackendAddressPool -Name <backendAddressPoolName> -ApplicationGateway $appGW
    $vmss = Get-AzVMSS -Name <VMSSName> -ResourceGroup <VMSSResourceGroupName>

    $backendPoolMembership = New-Object System.Collections.Generic.List[Microsoft.Azure.Management.Compute.Models.SubResource]

    # add existing backend pool membership to new pool membership of first NIC and ip config
    If ($vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools) {
        $backendPoolMembership.AddRange($vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools)
    }

    # add new backend pool to pool membership
    $backendPoolMembership.Add($backendPool.id)

    # set VMSS model to use to backend pool membership 
    $vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].IpConfigurations[0].ApplicationGatewayBackendAddressPools = $backendPoolMembership

    # update the VMSS model
    $vmss | Update-AzVMSS

    # update VMSS instances, if necessary
    If ($vmss.UpgradePolicy.Mode -eq 'Manual') {
        $vmss | Get-AzVmssVM | Foreach-Object { $_ | Update-AzVMSSInstance -InstanceId $_.instanceId}
    }

CLI

appGWName=<appGwName>
appGWResourceGroup=<appGWRGName> 
backendPoolName=<backendPoolName>
backendPoolId=$(az network application-gateway address-pool show --gateway-name $appGWName -g $appGWResourceGroup -n $backendPoolName --query id -otsv)

vmssName=<vmssName>
vmssResourceGroup=<vmssRGName>

# add app gw backend pool to first nic's first ip config
az vmss update -n $vmssName -g $vmssResourceGroup --add "virtualMachineProfile.NetworkProfile.NetworkInterfaceConfigurations[0].ipConfigurations[0].applicationGatewayBackendAddressPools" "id=$backendPoolId"

# update instances
az vmss update-instances --instance-ids * --name $vmssName --resource-group $vmssResourceGroup

ARM-sablon

"ipConfigurations": [{
  "name": "{config-name}",
  "properties": {
  "subnet": {
    "id": "{subnet-id}"
  },
  "ApplicationGatewayBackendAddressPools": [{
    "id": "/subscriptions/{subscription-id}/resourceGroups/{resource-group-name}/providers/Microsoft.Network/applicationGateways/{gateway-name}/backendAddressPools/{pool-name}"
  }]
}]

Rugalmas vezénylési virtuálisgép-méretezési csoportok hozzáadása egy Application Gatewayhez

Ha rugalmas méretezési csoportot ad hozzá egy Application Gatewayhez, a folyamat ugyanaz, mint önálló virtuális gépek hozzáadása az Application Gateway háttérkészletéhez – a virtuális gép hálózati adapterének IP-konfigurációját úgy kell frissítenie, hogy a háttérkészlet része legyen. Ez az Application Gateway konfigurációjával vagy a virtuális gép hálózati adapterének konfigurálásával végezhető el.

Megjegyzés:

Vegye figyelembe, hogy az alkalmazásátjárónak ugyanabban a virtuális hálózatban kell lennie, mint a méretezési csoportnak, de attól eltérő alhálózatban.

Konfigurálható DNS-beállítások

Alapértelmezés szerint a méretezési csoportok azon virtuális hálózat és alhálózat DNS-beállításait használják, ahol létrehozták őket. A méretezési csoportok DNS-beállításait azonban közvetlenül is konfigurálhatja.

Konfigurálható DNS-kiszolgálókkal rendelkező méretezési csoport létrehozása

Ha egyéni DNS-konfigurációval rendelkező méretezési csoportot szeretne létrehozni az Azure CLI használatával, adja hozzá a --dns-servers argumentumot a vmss create parancshoz, majd adja meg a kiszolgálók IP-címeit szóközökkel elválasztva. Például:

--dns-servers 10.0.0.6 10.0.0.5

Ha egyéni DNS-kiszolgálókat szeretne konfigurálni egy Azure-sablonban, adja hozzá a dnsSettings tulajdonságot a méretezési csoport networkInterfaceConfigurations szakaszához. Például:

"dnsSettings":{
    "dnsServers":["10.0.0.6", "10.0.0.5"]
}

Konfigurálható virtuálisgép-tartománynevekkel rendelkező méretezési csoport létrehozása

Ha egyéni DNS-névvel rendelkező méretezési csoportot szeretne létrehozni a virtuális gépekhez a parancssori felület használatával, adja hozzá a --vm-domain-name argumentumot a virtuálisgép-méretezési csoport létrehozási parancsához, majd egy tartománynevet képviselő sztringgel.

Ha egyéni tartománynevet szeretne konfigurálni egy Azure-sablonban, adja hozzá a dnsSettings tulajdonságot a méretezési csoport networkInterfaceConfigurations szakaszához. Például:

"networkProfile": {
  "networkInterfaceConfigurations": [
    {
    "name": "nic1",
    "properties": {
      "primary": true,
      "ipConfigurations": [
      {
        "name": "ip1",
        "properties": {
          "subnet": {
            "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
          },
          "publicIPAddressconfiguration": {
            "name": "publicip",
            "properties": {
            "idleTimeoutInMinutes": 10,
              "dnsSettings": {
                "domainNameLabel": "[parameters('vmssDnsName')]"
              }
            }
          }
        }
      }
    ]
    }
}

A virtuális gépek egyéni DNS-nevének kimenete az alábbi módon kell, hogy kinézzen:

<vm><vmindex>.<specifiedVmssDomainNameLabel>

Nyilvános IPv4-cím virtuális gépenként

Az Azure méretezési csoportok virtuális gépeinek általában nincs szükségük saját nyilvános IP-címre. A legtöbb forgatókönyv esetében gazdaságosabb és biztonságosabb, ha egy nyilvános IP-címet egy terheléselosztóhoz vagy egy egyéni virtuális géphez (más néven jumpboxhoz) társít, amely ezután a bejövő kapcsolatokat igény szerint skálázza a virtuális gépek méretezéséhez (például bejövő NAT-szabályokon keresztül).

Egyes helyzetek azonban megkövetelik, hogy a méretezési csoport virtuális gépei saját nyilvános IP-címmel rendelkezzenek. Egy ilyen példa a játékok, ahol a konzolnak közvetlen kapcsolatot kell létesítenie egy felhőalapú virtuális géppel, amely elvégzi a játék fizikai világának feldolgozását. Egy másik példa, ha a különböző régiókban található virtuális gépeknek külső kapcsolatokat kell létesítenie egymással egy elosztott adatbázisban.

Méretezési csoport létrehozása úgy, hogy minden virtuális gép saját IP-címmel rendelkezzen

Ha olyan méretezési csoportot szeretne létrehozni a CLI használatával, amely minden egyes virtuális géphez hozzárendel egy nyilvános IP-címet, adja hozzá a --public-ip-per-vm paramétert a vmss create parancshoz.

Ha Azure-sablon használatával szeretné ezt megvalósítani, ellenőrizze, hogy a Microsoft.Compute/virtualMachineScaleSets erőforrás legalább 2017-03-30-as verziójú-e, és adja hozzá a publicIpAddressConfiguration JSON-tulajdonságot a méretezési csoport ipConfigurations szakaszához. Például:

"publicIpAddressConfiguration": {
    "name": "pub1",
    "sku": {
      "name": "Standard"
    },
    "properties": {
      "idleTimeoutInMinutes": 15
    }
}

Vegye figyelembe, hogy ha a virtuálisgép-méretezési csoportok példányonként nyilvános IP-címekkel jönnek létre egy terheléselosztóval, a példány IP-címeit a Load Balancer termékváltozata határozza meg (azaz alapszintű vagy standard). Ha a virtuálisgép-méretezési csoport terheléselosztó nélkül jön létre, a példány IP-címeinek termékváltozata közvetlenül a sablon termékváltozatának a fent látható szakaszával állítható be.

Példasablon alapszintű Load Balancer használatával: vmss-public-ip-linux

Alternatív megoldásként egy nyilvános IP-előtag (a standard termékváltozat nyilvános IP-címeinek egybefüggő blokkja) is használható a virtuálisgép-méretezési csoportok példányszintű IP-címeinek létrehozásához. Az előtag zonális tulajdonságai át lesznek adva a példány IP-címeinek, de nem jelennek meg a kimenetben.

Példasablon nyilvános IP-előtaggal: vmms-with-public-ip-prefix

A méretezési csoportban található virtuális gépek nyilvános IP-címének lekérdezése

A méretezési csoportok virtuális gépeihez hozzárendelt nyilvános IP-címek listáját az az vmss list-instance-public-ips paranccsal kérheti le a CLI használatával.

Ha a PowerShell használatával szeretné listázni a méretezési csoport nyilvános IP-címeit, használja a Get-AzPublicIpAddress parancsot. Például:

Get-AzPublicIpAddress -ResourceGroupName myrg -VirtualMachineScaleSetName myvmss

A nyilvános IP-címeket úgy is lekérdezheti, ha közvetlenül a nyilvános IP-cím konfigurációjának erőforrás-azonosítójára hivatkozik. Például:

Get-AzPublicIpAddress -ResourceGroupName myrg -Name myvmsspip

A méretezési csoportok virtuális gépeihez hozzárendelt nyilvános IP-címeket az Azure Resource Explorer, illetve az Azure REST API 2017-03-30-as vagy újabb verzióját lekérdezve is megjelenítheti.

Az Azure Resource Explorer lekérdezése:

1. Nyissa meg az Azure Resource Explorert egy böngészőben.
2. Bontsa ki a bal oldalon található előfizetéseket a mellettük lévő + elemre kattintva. Ha az előfizetések alatt csak egy elem található, lehet, hogy az előfizetés már ki lett bontva.
3. Bontsa ki az előfizetést.
4. Bontsa ki az erőforráscsoportot.
5. Bontsa ki a Szolgáltatók csomópontot.
6. Bontsa ki a Microsoft.Compute csomópontot.
7. Bontsa ki a virtualMachineScaleSets csomópontot.
8. Bontsa ki a méretezési csoportot.
9. Kattintson a publicipaddresses elemre.

Az Azure REST API lekérdezése:

GET https://management.azure.com/subscriptions/{your sub ID}/resourceGroups/{RG name}/providers/Microsoft.Compute/virtualMachineScaleSets/{scale set name}/publicipaddresses?api-version=2017-03-30

Az Azure Resource Explorer és az Azure REST API példakimenete:

{
  "value": [
    {
      "name": "pub1",
      "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/pipvmss/virtualMachines/0/networkInterfaces/pipvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
      "etag": "W/\"a64060d5-4dea-4379-a11d-b23cd49a3c8d\"",
      "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "ee8cb20f-af8e-4cd6-892f-441ae2bf701f",
        "ipAddress": "13.84.190.11",
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Dynamic",
        "idleTimeoutInMinutes": 15,
        "ipConfiguration": {
          "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/0/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
        }
      }
    },
    {
      "name": "pub1",
      "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
      "etag": "W/\"5f6ff30c-a24c-4818-883c-61ebd5f9eee8\"",
      "properties": {
        "provisioningState": "Succeeded",
        "resourceGuid": "036ce266-403f-41bd-8578-d446d7397c2f",
        "ipAddress": "13.84.159.176",
        "publicIPAddressVersion": "IPv4",
        "publicIPAllocationMethod": "Dynamic",
        "idleTimeoutInMinutes": 15,
        "ipConfiguration": {
          "id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
        }
      }
    }

Több IP-cím hálózati adapterenként

A méretezési csoportok virtuális gépeihez csatolt minden hálózati adapter egy vagy több hozzárendelt IP-konfigurációval rendelkezhet. Az egyes konfigurációkhoz egy magánhálózati IP-cím van hozzárendelve. Az egyes konfigurációkhoz egy nyilvános IP-cím erőforrás is hozzárendelhető. A hálózati adapterekhez hozzárendelhető IP-címek, valamint az Azure-előfizetésekben használható nyilvános IP-címek számával kapcsolatos további információkért tekintse meg az Azure korlátairól szóló cikket.

Több hálózati adapter virtuális gépenként

A gép méretétől függően virtuális gépenként legfeljebb 8 hálózati adapterrel rendelkezhet. A gépenkénti hálózati adapterek maximális számával kapcsolatos további információért tekintse meg a virtuális gépek méretéről szóló cikket. Az egy virtuálisgép-példányhoz csatlakoztatott összes hálózati adapternek ugyanahhoz a virtuális hálózathoz kell kapcsolódnia. A hálózati adapterek csatlakozhatnak különböző alhálózatokhoz, de mindegyik alhálózatnak ugyanabba a virtuális hálózatba kell tartoznia.

A következő példa egy olyan méretezési csoport hálózati profilja, amely több hálózatiadapter-bejegyzéssel, és virtuális gépenként több nyilvános IP-címmel rendelkezik:

"networkProfile": {
    "networkInterfaceConfigurations": [
        {
        "name": "nic1",
        "properties": {
            "primary": true,
            "ipConfigurations": [
            {
                "name": "ip1",
                "properties": {
                "subnet": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                },
                "publicipaddressconfiguration": {
                    "name": "pub1",
                    "properties": {
                    "idleTimeoutInMinutes": 15
                    }
                },
                "loadBalancerInboundNatPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                    }
                ],
                "loadBalancerBackendAddressPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                    }
                ]
                }
            }
            ]
        }
        },
        {
        "name": "nic2",
        "properties": {
            "primary": false,
            "ipConfigurations": [
            {
                "name": "ip1",
                "properties": {
                "subnet": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                },
                "publicipaddressconfiguration": {
                    "name": "pub1",
                    "properties": {
                    "idleTimeoutInMinutes": 15
                    }
                },
                "loadBalancerInboundNatPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                    }
                ],
                "loadBalancerBackendAddressPools": [
                    {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                    }
                ]
                }
            }
            ]
        }
        }
    ]
}

Hálózati biztonsági csoport és alkalmazásbiztonsági csoportok méretezési csoportonként

A hálózati biztonsági csoportokkal az Azure virtuális hálózatokban lévő Azure-erőforrások bejövő és kimenő forgalmát szűrheti biztonsági szabályok használatával. Az alkalmazásbiztonsági csoportokkal az Azure-erőforrások hálózati biztonságát kezelheti, és az alkalmazás struktúrájának kiterjesztéseként csoportosíthatja őket.

A hálózati biztonsági csoportok közvetlenül alkalmazhatók a méretezési csoportokra, ha hozzáadja a hivatkozást a méretezési csoport virtuálisgép-tulajdonságainak hálózatiadapter-konfiguráció szakaszához.

Az alkalmazásbiztonsági csoportok közvetlenül is megadhatók a méretezési csoportoknál, ha hozzáad egy hivatkozást a méretezési csoport virtuálisgép-tulajdonságain belül a hálózati adapter IP-konfigurációját tartalmazó szakaszhoz.

Például:

"networkProfile": {
    "networkInterfaceConfigurations": [
        {
            "name": "nic1",
            "properties": {
                "primary": true,
                "ipConfigurations": [
                    {
                        "name": "ip1",
                        "properties": {
                            "subnet": {
                                "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
                            },
                            "applicationSecurityGroups": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/applicationSecurityGroups/', variables('asgName'))]"
                                }
                            ],
                "loadBalancerInboundNatPools": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
                                }
                            ],
                            "loadBalancerBackendAddressPools": [
                                {
                                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
                                }
                            ]
                        }
                    }
                ],
                "networkSecurityGroup": {
                    "id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/networkSecurityGroups/', variables('nsgName'))]"
                }
            }
        }
    ]
}

Annak ellenőrzéséhez, hogy a hálózati biztonsági csoport társítva van-e a méretezési csoporttal, használja az az vmss show parancsot. Az alábbi példában a --query attribútummal történik az eredmények szűrése, és csak a kimenet releváns része látható.

az vmss show \
    -g myResourceGroup \
    -n myScaleSet \
    --query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].networkSecurityGroup

[
  {
    "id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/nsgName",
    "resourceGroup": "myResourceGroup"
  }
]

Annak ellenőrzéséhez, hogy az alkalmazásbiztonsági csoport társítva van-e a méretezési csoporttal, használja az az vmss show parancsot. Az alábbi példában a --query attribútummal történik az eredmények szűrése, és csak a kimenet releváns része látható.

az vmss show \
    -g myResourceGroup \
    -n myScaleSet \
    --query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].ipConfigurations[].applicationSecurityGroups

[
  [
    {
      "id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationSecurityGroups/asgName",
      "resourceGroup": "myResourceGroup"
    }
  ]
]

Hálózati frissítések készítése adott példányokra

Hálózati frissítéseket végezhet adott virtuálisgép-méretezési csoportok példányaihoz.

A példányon át frissítheti PUT a hálózati konfigurációt. Ez olyan műveletekre használható, mint a hálózati adapterek (NIC-k) hozzáadása vagy eltávolítása, illetve egy példány eltávolítása egy háttérkészletből.

PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01

Az alábbi példa bemutatja, hogyan adhat hozzá egy második IP-konfigurációt a hálózati adapterhez.

1. GET egy adott virtuálisgép-méretezési csoport példányának részletei.

   GET https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
   

   A következő egyszerűsödött, hogy csak a hálózati paraméterek jelenjenek meg ebben a példában.

   {
     ...
     "properties": {
       ...
       "networkProfileConfiguration": {
         "networkInterfaceConfigurations": [
           {
             "name": "vmssnic-vnet-nic01",
             "properties": {
               "primary": true,
               "enableAcceleratedNetworking": false,
               "networkSecurityGroup": {
                 "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01"
               },
               "dnsSettings": {
                 "dnsServers": []
               },
               "enableIPForwarding": false,
               "ipConfigurations": [
                 {
                   "name": "vmssnic-vnet-nic01-defaultIpConfiguration",
                   "properties": {
                     "publicIPAddressConfiguration": {
                       "name": "publicIp-vmssnic-vnet-nic01",
                       "properties": {
                         "idleTimeoutInMinutes": 15,
                         "ipTags": [],
                         "publicIPAddressVersion": "IPv4"
                       }
                     },
                     "primary": true,
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 }
               ]
             }
           }
         ]
       },
       ...
     }
   }
   

2. PUT a példányon, és frissítsen a további IP-konfiguráció hozzáadásához. Ez hasonló a továbbiak networkInterfaceConfigurationhozzáadásához.

   PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
   

   A következő egyszerűsödött, hogy csak a hálózati paraméterek jelenjenek meg ebben a példában.

     {
     ...
     "properties": {
       ...
       "networkProfileConfiguration": {
         "networkInterfaceConfigurations": [
           {
             "name": "vmssnic-vnet-nic01",
             "properties": {
               "primary": true,
               "enableAcceleratedNetworking": false,
               "networkSecurityGroup": {
                 "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01"
               },
               "dnsSettings": {
                 "dnsServers": []
               },
               "enableIPForwarding": false,
               "ipConfigurations": [
                 {
                   "name": "vmssnic-vnet-nic01-defaultIpConfiguration",
                   "properties": {
                     "publicIPAddressConfiguration": {
                       "name": "publicIp-vmssnic-vnet-nic01",
                       "properties": {
                         "idleTimeoutInMinutes": 15,
                         "ipTags": [],
                         "publicIPAddressVersion": "IPv4"
                       }
                     },
                     "primary": true,
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 },
                 {
                   "name": "my-second-config",
                   "properties": {
                     "subnet": {
                       "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default"
                     },
                     "privateIPAddressVersion": "IPv4"
                   }
                 }
               ]
             }
           }
         ]
       },
       ...
     }
   }
   

Explicit hálózati kimenő kapcsolat rugalmas méretezési csoportokhoz

Az alapértelmezett hálózati biztonság javítása érdekében a rugalmas vezényléssel rendelkező virtuálisgép-méretezési csoportok megkövetelik, hogy az automatikus méretezési profilon keresztül implicit módon létrehozott példányok kimenő kapcsolattal rendelkezzenek explicit módon az alábbi módszerek egyikén keresztül:

• A legtöbb forgatókönyv esetében az alhálózathoz csatolt NAT-átjárót javasoljuk.
• A magas biztonsági követelményekkel rendelkező forgatókönyvek esetén, illetve az Azure Firewall vagy a Hálózati virtuális berendezés (NVA) használatakor a következő lépésként megadhat egy egyéni felhasználó által megadott útvonalat a tűzfalon keresztül.
• A példányok egy Standard SKU Azure Load Balancer háttérkészletében találhatók.
• Csatoljon egy nyilvános IP-címet a példány hálózati adapteréhez.

Egységes vezénylésű egypéldányos virtuális gépek és virtuálisgép-méretezési csoportok esetén a kimenő kapcsolat automatikusan létrejön.

Az explicit kimenő kapcsolatot igénylő gyakori forgatókönyvek a következők:

• A Windows rendszerű virtuális gépek aktiválásához meg kell adnia a virtuálisgép-példányból a Windows Aktiválási kulcskezelő szolgáltatás (KMS) felé irányuló kimenő kapcsolatot. További információ: Windows rendszerű virtuális gépek aktiválási problémáinak elhárítása.
• Hozzáférés tárfiókokhoz vagy Key Vaulthoz. Csatlakozás az Azure-szolgáltatásokhoz valóPrivát hivatkozás.

A biztonságos kimenő kapcsolatok meghatározásával kapcsolatos további részletekért tekintse meg az Alapértelmezett kimenő hozzáférés az Azure-ban című témakört.

További lépések

Az Azure-beli virtuális hálózatokról az Azure-beli virtuális hálózatok áttekintését ismertető dokumentumban talál további információt.