Hálózatkezelés azure-beli virtuálisgép-méretezési csoportokhoz
Amikor azure-beli virtuálisgép-méretezési csoportot helyez üzembe a portálon keresztül, bizonyos hálózati tulajdonságok alapértelmezés szerint be vannak állítva, például egy bejövő NAT-szabályokkal rendelkező Azure Load Balancer. Ez a cikk azt ismerteti, hogyan használhatja a méretezési csoportokkal konfigurálható speciális hálózatkezelési szolgáltatásokat.
Az ebben a cikkben ismertetett összes szolgáltatás konfigurálható az Azure Resource Manager-sablonok használatával. Egyes szolgáltatások esetében az Azure CLI-hez és PowerShellhez is találhat példákat.
Accelerated Networking
Az Azure Gyorsított hálózatkezelés javítja a hálózati teljesítményt azáltal, hogy engedélyezi az egygyökerű I/O-virtualizálást (SR-IOV) a virtuális gépekre. A Gyorsított hálózatkezelésről további információt a Windows vagy Linux rendszerű virtuális gépek Gyorsított hálózatkezelésével foglalkozó cikkben talál. Ha a gyorsított hálózatkezelést méretezési csoportokkal szeretné használni, állítsa az enableAcceleratedNetworking tulajdonságot true értékre a méretezési csoport networkInterfaceConfigurations beállításaiban. Például:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "niconfig1",
"properties": {
"primary": true,
"enableAcceleratedNetworking" : true,
"ipConfigurations": [
...
]
}
}
]
}
Azure-beli virtuálisgép-méretezési csoportok az Azure Load Balancerrel
Az Azure Load Balancer és a virtuálisgép-méretezési csoportok című cikkből megtudhatja, hogyan konfigurálhatja a Standard Load Balancert virtuálisgép-méretezési csoportokkal a forgatókönyve alapján.
Virtuálisgép-méretezési csoport hozzáadása egy Application Gatewayhez
Ha méretezési csoportot szeretne hozzáadni egy Application Gateway háttérkészletéhez, hivatkozzon az Application Gateway háttérkészletére a méretezési csoport hálózati profiljában. Ez a méretezési csoport létrehozásakor (lásd alább az ARM-sablont) vagy egy meglévő méretezési csoporton végezhető el.
Egységes vezénylési virtuálisgép-méretezési csoportok hozzáadása egy Application Gatewayhez
Ha egységes virtuálisgép-méretezési csoportokat ad hozzá az Application Gateway háttérkészletéhez, a folyamat az új vagy meglévő méretezési csoportok esetében eltérő lesz:
- Új méretezési csoportok esetén hivatkozzon az Application Gateway háttérkészlet-azonosítójára a méretezési csoportmodell hálózati profiljában egy vagy több hálózati adapter IP-konfigurációja alatt. Üzembe helyezéskor a méretezési csoporthoz hozzáadott példányok az Application Gateway háttérkészletében lesznek elhelyezve.
- Meglévő méretezési csoportok esetén először adja hozzá az Application Gateway háttérkészlet-azonosítóját a méretezési csoportmodell hálózati profiljához, majd alkalmazza a modellt a meglévő példányokra egy frissítéssel. Ha a méretezési csoport frissítési szabályzata vagy
Automatic
Rolling
, a példányok frissülnek. Ha igenManual
, manuálisan kell frissítenie a példányokat.
- Hozzon létre egy Application Gateway- és háttérkészletet a méretezési csoporthoz hasonló régióban, ha még nincs ilyen
- Navigáljon a virtuálisgép-méretezési csoporthoz a portálon
- A Gépház alatt nyissa meg a Hálózatkezelés panelt
- A Hálózatkezelés panelen válassza a Terheléselosztás lapot, és kattintson a Terheléselosztás hozzáadása elemre
- Válassza az Application Gatewayt a Terheléselosztási beállítások legördülő listából, és válasszon egy meglévő Application Gatewayt
- Válassza ki a cél háttérkészletet, és kattintson a Mentés gombra
- Ha a méretezési csoport frissítési szabályzata "Manuális", lépjen a Gépház> Instances panelre az egyes példányok kiválasztásához és frissítéséhez
Rugalmas vezénylési virtuálisgép-méretezési csoportok hozzáadása egy Application Gatewayhez
Ha rugalmas méretezési csoportot ad hozzá egy Application Gatewayhez, a folyamat ugyanaz, mint önálló virtuális gépek hozzáadása az Application Gateway háttérkészletéhez – a virtuális gép hálózati adapterének IP-konfigurációját úgy kell frissítenie, hogy a háttérkészlet része legyen. Ez az Application Gateway konfigurációjával vagy a virtuális gép hálózati adapterének konfigurálásával végezhető el.
Megjegyzés:
Vegye figyelembe, hogy az alkalmazásátjárónak ugyanabban a virtuális hálózatban kell lennie, mint a méretezési csoportnak, de attól eltérő alhálózatban.
Konfigurálható DNS-beállítások
Alapértelmezés szerint a méretezési csoportok azon virtuális hálózat és alhálózat DNS-beállításait használják, ahol létrehozták őket. A méretezési csoportok DNS-beállításait azonban közvetlenül is konfigurálhatja.
Konfigurálható DNS-kiszolgálókkal rendelkező méretezési csoport létrehozása
Ha egyéni DNS-konfigurációval rendelkező méretezési csoportot szeretne létrehozni az Azure CLI használatával, adja hozzá a --dns-servers argumentumot a vmss create parancshoz, majd adja meg a kiszolgálók IP-címeit szóközökkel elválasztva. Például:
--dns-servers 10.0.0.6 10.0.0.5
Ha egyéni DNS-kiszolgálókat szeretne konfigurálni egy Azure-sablonban, adja hozzá a dnsSettings tulajdonságot a méretezési csoport networkInterfaceConfigurations szakaszához. Például:
"dnsSettings":{
"dnsServers":["10.0.0.6", "10.0.0.5"]
}
Konfigurálható virtuálisgép-tartománynevekkel rendelkező méretezési csoport létrehozása
Ha egyéni DNS-névvel rendelkező méretezési csoportot szeretne létrehozni a virtuális gépekhez a parancssori felület használatával, adja hozzá a --vm-domain-name argumentumot a virtuálisgép-méretezési csoport létrehozási parancsához, majd egy tartománynevet képviselő sztringgel.
Ha egyéni tartománynevet szeretne konfigurálni egy Azure-sablonban, adja hozzá a dnsSettings tulajdonságot a méretezési csoport networkInterfaceConfigurations szakaszához. Például:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "nic1",
"properties": {
"primary": true,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"publicIPAddressconfiguration": {
"name": "publicip",
"properties": {
"idleTimeoutInMinutes": 10,
"dnsSettings": {
"domainNameLabel": "[parameters('vmssDnsName')]"
}
}
}
}
}
]
}
}
A virtuális gépek egyéni DNS-nevének kimenete az alábbi módon kell, hogy kinézzen:
<vm><vmindex>.<specifiedVmssDomainNameLabel>
Nyilvános IPv4-cím virtuális gépenként
Az Azure méretezési csoportok virtuális gépeinek általában nincs szükségük saját nyilvános IP-címre. A legtöbb forgatókönyv esetében gazdaságosabb és biztonságosabb, ha egy nyilvános IP-címet egy terheléselosztóhoz vagy egy egyéni virtuális géphez (más néven jumpboxhoz) társít, amely ezután a bejövő kapcsolatokat igény szerint skálázza a virtuális gépek méretezéséhez (például bejövő NAT-szabályokon keresztül).
Egyes helyzetek azonban megkövetelik, hogy a méretezési csoport virtuális gépei saját nyilvános IP-címmel rendelkezzenek. Egy ilyen példa a játékok, ahol a konzolnak közvetlen kapcsolatot kell létesítenie egy felhőalapú virtuális géppel, amely elvégzi a játék fizikai világának feldolgozását. Egy másik példa, ha a különböző régiókban található virtuális gépeknek külső kapcsolatokat kell létesítenie egymással egy elosztott adatbázisban.
Méretezési csoport létrehozása úgy, hogy minden virtuális gép saját IP-címmel rendelkezzen
Ha olyan méretezési csoportot szeretne létrehozni a CLI használatával, amely minden egyes virtuális géphez hozzárendel egy nyilvános IP-címet, adja hozzá a --public-ip-per-vm paramétert a vmss create parancshoz.
Ha Azure-sablon használatával szeretné ezt megvalósítani, ellenőrizze, hogy a Microsoft.Compute/virtualMachineScaleSets erőforrás legalább 2017-03-30-as verziójú-e, és adja hozzá a publicIpAddressConfiguration JSON-tulajdonságot a méretezési csoport ipConfigurations szakaszához. Például:
"publicIpAddressConfiguration": {
"name": "pub1",
"sku": {
"name": "Standard"
},
"properties": {
"idleTimeoutInMinutes": 15
}
}
Vegye figyelembe, hogy ha a virtuálisgép-méretezési csoportok példányonként nyilvános IP-címekkel jönnek létre egy terheléselosztóval, a példány IP-címeit a Load Balancer termékváltozata határozza meg (azaz alapszintű vagy standard). Ha a virtuálisgép-méretezési csoport terheléselosztó nélkül jön létre, a példány IP-címeinek termékváltozata közvetlenül a sablon termékváltozatának a fent látható szakaszával állítható be.
Példasablon alapszintű Load Balancer használatával: vmss-public-ip-linux
Alternatív megoldásként egy nyilvános IP-előtag (a standard termékváltozat nyilvános IP-címeinek egybefüggő blokkja) is használható a virtuálisgép-méretezési csoportok példányszintű IP-címeinek létrehozásához. Az előtag zonális tulajdonságai át lesznek adva a példány IP-címeinek, de nem jelennek meg a kimenetben.
Példasablon nyilvános IP-előtaggal: vmms-with-public-ip-prefix
A méretezési csoportban található virtuális gépek nyilvános IP-címének lekérdezése
A méretezési csoportok virtuális gépeihez hozzárendelt nyilvános IP-címek listáját az az vmss list-instance-public-ips paranccsal kérheti le a CLI használatával.
Ha a PowerShell használatával szeretné listázni a méretezési csoport nyilvános IP-címeit, használja a Get-AzPublicIpAddress parancsot. Például:
Get-AzPublicIpAddress -ResourceGroupName myrg -VirtualMachineScaleSetName myvmss
A nyilvános IP-címeket úgy is lekérdezheti, ha közvetlenül a nyilvános IP-cím konfigurációjának erőforrás-azonosítójára hivatkozik. Például:
Get-AzPublicIpAddress -ResourceGroupName myrg -Name myvmsspip
A méretezési csoportok virtuális gépeihez hozzárendelt nyilvános IP-címeket az Azure Resource Explorer, illetve az Azure REST API 2017-03-30-as vagy újabb verzióját lekérdezve is megjelenítheti.
Az Azure Resource Explorer lekérdezése:
- Nyissa meg az Azure Resource Explorert egy böngészőben.
- Bontsa ki a bal oldalon található előfizetéseket a mellettük lévő + elemre kattintva. Ha az előfizetések alatt csak egy elem található, lehet, hogy az előfizetés már ki lett bontva.
- Bontsa ki az előfizetést.
- Bontsa ki az erőforráscsoportot.
- Bontsa ki a Szolgáltatók csomópontot.
- Bontsa ki a Microsoft.Compute csomópontot.
- Bontsa ki a virtualMachineScaleSets csomópontot.
- Bontsa ki a méretezési csoportot.
- Kattintson a publicipaddresses elemre.
Az Azure REST API lekérdezése:
GET https://management.azure.com/subscriptions/{your sub ID}/resourceGroups/{RG name}/providers/Microsoft.Compute/virtualMachineScaleSets/{scale set name}/publicipaddresses?api-version=2017-03-30
Az Azure Resource Explorer és az Azure REST API példakimenete:
{
"value": [
{
"name": "pub1",
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/pipvmss/virtualMachines/0/networkInterfaces/pipvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
"etag": "W/\"a64060d5-4dea-4379-a11d-b23cd49a3c8d\"",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "ee8cb20f-af8e-4cd6-892f-441ae2bf701f",
"ipAddress": "13.84.190.11",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 15,
"ipConfiguration": {
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/0/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
}
}
},
{
"name": "pub1",
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig/publicIPAddresses/pub1",
"etag": "W/\"5f6ff30c-a24c-4818-883c-61ebd5f9eee8\"",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "036ce266-403f-41bd-8578-d446d7397c2f",
"ipAddress": "13.84.159.176",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 15,
"ipConfiguration": {
"id": "/subscriptions/your-subscription-id/resourceGroups/your-rg/providers/Microsoft.Compute/virtualMachineScaleSets/yourvmss/virtualMachines/3/networkInterfaces/yourvmssnic/ipConfigurations/yourvmssipconfig"
}
}
}
Több IP-cím hálózati adapterenként
A méretezési csoportok virtuális gépeihez csatolt minden hálózati adapter egy vagy több hozzárendelt IP-konfigurációval rendelkezhet. Az egyes konfigurációkhoz egy magánhálózati IP-cím van hozzárendelve. Az egyes konfigurációkhoz egy nyilvános IP-cím erőforrás is hozzárendelhető. A hálózati adapterekhez hozzárendelhető IP-címek, valamint az Azure-előfizetésekben használható nyilvános IP-címek számával kapcsolatos további információkért tekintse meg az Azure korlátairól szóló cikket.
Több hálózati adapter virtuális gépenként
A gép méretétől függően virtuális gépenként legfeljebb 8 hálózati adapterrel rendelkezhet. A gépenkénti hálózati adapterek maximális számával kapcsolatos további információért tekintse meg a virtuális gépek méretéről szóló cikket. Az egy virtuálisgép-példányhoz csatlakoztatott összes hálózati adapternek ugyanahhoz a virtuális hálózathoz kell kapcsolódnia. A hálózati adapterek csatlakozhatnak különböző alhálózatokhoz, de mindegyik alhálózatnak ugyanabba a virtuális hálózatba kell tartoznia.
A következő példa egy olyan méretezési csoport hálózati profilja, amely több hálózatiadapter-bejegyzéssel, és virtuális gépenként több nyilvános IP-címmel rendelkezik:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "nic1",
"properties": {
"primary": true,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"publicipaddressconfiguration": {
"name": "pub1",
"properties": {
"idleTimeoutInMinutes": 15
}
},
"loadBalancerInboundNatPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
}
],
"loadBalancerBackendAddressPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
}
]
}
}
]
}
},
{
"name": "nic2",
"properties": {
"primary": false,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"publicipaddressconfiguration": {
"name": "pub1",
"properties": {
"idleTimeoutInMinutes": 15
}
},
"loadBalancerInboundNatPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
}
],
"loadBalancerBackendAddressPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
}
]
}
}
]
}
}
]
}
Hálózati biztonsági csoport és alkalmazásbiztonsági csoportok méretezési csoportonként
A hálózati biztonsági csoportokkal az Azure virtuális hálózatokban lévő Azure-erőforrások bejövő és kimenő forgalmát szűrheti biztonsági szabályok használatával. Az alkalmazásbiztonsági csoportokkal az Azure-erőforrások hálózati biztonságát kezelheti, és az alkalmazás struktúrájának kiterjesztéseként csoportosíthatja őket.
A hálózati biztonsági csoportok közvetlenül alkalmazhatók a méretezési csoportokra, ha hozzáadja a hivatkozást a méretezési csoport virtuálisgép-tulajdonságainak hálózatiadapter-konfiguráció szakaszához.
Az alkalmazásbiztonsági csoportok közvetlenül is megadhatók a méretezési csoportoknál, ha hozzáad egy hivatkozást a méretezési csoport virtuálisgép-tulajdonságain belül a hálózati adapter IP-konfigurációját tartalmazó szakaszhoz.
Például:
"networkProfile": {
"networkInterfaceConfigurations": [
{
"name": "nic1",
"properties": {
"primary": true,
"ipConfigurations": [
{
"name": "ip1",
"properties": {
"subnet": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/virtualNetworks/', variables('vnetName'), '/subnets/subnet1')]"
},
"applicationSecurityGroups": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/applicationSecurityGroups/', variables('asgName'))]"
}
],
"loadBalancerInboundNatPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/inboundNatPools/natPool1')]"
}
],
"loadBalancerBackendAddressPools": [
{
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/loadBalancers/', variables('lbName'), '/backendAddressPools/addressPool1')]"
}
]
}
}
],
"networkSecurityGroup": {
"id": "[concat('/subscriptions/', subscription().subscriptionId,'/resourceGroups/', resourceGroup().name, '/providers/Microsoft.Network/networkSecurityGroups/', variables('nsgName'))]"
}
}
}
]
}
Annak ellenőrzéséhez, hogy a hálózati biztonsági csoport társítva van-e a méretezési csoporttal, használja az az vmss show
parancsot. Az alábbi példában a --query
attribútummal történik az eredmények szűrése, és csak a kimenet releváns része látható.
az vmss show \
-g myResourceGroup \
-n myScaleSet \
--query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].networkSecurityGroup
[
{
"id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/networkSecurityGroups/nsgName",
"resourceGroup": "myResourceGroup"
}
]
Annak ellenőrzéséhez, hogy az alkalmazásbiztonsági csoport társítva van-e a méretezési csoporttal, használja az az vmss show
parancsot. Az alábbi példában a --query
attribútummal történik az eredmények szűrése, és csak a kimenet releváns része látható.
az vmss show \
-g myResourceGroup \
-n myScaleSet \
--query virtualMachineProfile.networkProfile.networkInterfaceConfigurations[].ipConfigurations[].applicationSecurityGroups
[
[
{
"id": "/subscriptions/.../resourceGroups/myResourceGroup/providers/Microsoft.Network/applicationSecurityGroups/asgName",
"resourceGroup": "myResourceGroup"
}
]
]
Hálózati frissítések készítése adott példányokra
Hálózati frissítéseket végezhet adott virtuálisgép-méretezési csoportok példányaihoz.
A példányon át frissítheti PUT
a hálózati konfigurációt. Ez olyan műveletekre használható, mint a hálózati adapterek (NIC-k) hozzáadása vagy eltávolítása, illetve egy példány eltávolítása egy háttérkészletből.
PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
Az alábbi példa bemutatja, hogyan adhat hozzá egy második IP-konfigurációt a hálózati adapterhez.
GET
egy adott virtuálisgép-méretezési csoport példányának részletei.GET https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
A következő egyszerűsödött, hogy csak a hálózati paraméterek jelenjenek meg ebben a példában.
{ ... "properties": { ... "networkProfileConfiguration": { "networkInterfaceConfigurations": [ { "name": "vmssnic-vnet-nic01", "properties": { "primary": true, "enableAcceleratedNetworking": false, "networkSecurityGroup": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01" }, "dnsSettings": { "dnsServers": [] }, "enableIPForwarding": false, "ipConfigurations": [ { "name": "vmssnic-vnet-nic01-defaultIpConfiguration", "properties": { "publicIPAddressConfiguration": { "name": "publicIp-vmssnic-vnet-nic01", "properties": { "idleTimeoutInMinutes": 15, "ipTags": [], "publicIPAddressVersion": "IPv4" } }, "primary": true, "subnet": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default" }, "privateIPAddressVersion": "IPv4" } } ] } } ] }, ... } }
PUT
a példányon, és frissítsen a további IP-konfiguráció hozzáadásához. Ez hasonló a továbbiaknetworkInterfaceConfiguration
hozzáadásához.PUT https://management.azure.com/subscriptions/.../resourceGroups/vmssnic/providers/Microsoft.Compute/virtualMachineScaleSets/vmssnic/virtualMachines/1/?api-version=2019-07-01
A következő egyszerűsödött, hogy csak a hálózati paraméterek jelenjenek meg ebben a példában.
{ ... "properties": { ... "networkProfileConfiguration": { "networkInterfaceConfigurations": [ { "name": "vmssnic-vnet-nic01", "properties": { "primary": true, "enableAcceleratedNetworking": false, "networkSecurityGroup": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/networkSecurityGroups/basicNsgvmssnic-vnet-nic01" }, "dnsSettings": { "dnsServers": [] }, "enableIPForwarding": false, "ipConfigurations": [ { "name": "vmssnic-vnet-nic01-defaultIpConfiguration", "properties": { "publicIPAddressConfiguration": { "name": "publicIp-vmssnic-vnet-nic01", "properties": { "idleTimeoutInMinutes": 15, "ipTags": [], "publicIPAddressVersion": "IPv4" } }, "primary": true, "subnet": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default" }, "privateIPAddressVersion": "IPv4" } }, { "name": "my-second-config", "properties": { "subnet": { "id": "/subscriptions/123a1a12-a123-1ab1-12a1-12a1a1234ab1/resourceGroups/vmssnic/providers/Microsoft.Network/virtualNetworks/vmssnic-vnet/subnets/default" }, "privateIPAddressVersion": "IPv4" } } ] } } ] }, ... } }
Explicit hálózati kimenő kapcsolat rugalmas méretezési csoportokhoz
Az alapértelmezett hálózati biztonság javítása érdekében a rugalmas vezényléssel rendelkező virtuálisgép-méretezési csoportok megkövetelik, hogy az automatikus méretezési profilon keresztül implicit módon létrehozott példányok kimenő kapcsolattal rendelkezzenek explicit módon az alábbi módszerek egyikén keresztül:
- A legtöbb forgatókönyv esetében az alhálózathoz csatolt NAT-átjárót javasoljuk.
- A magas biztonsági követelményekkel rendelkező forgatókönyvek esetén, illetve az Azure Firewall vagy a Hálózati virtuális berendezés (NVA) használatakor a következő lépésként megadhat egy egyéni felhasználó által megadott útvonalat a tűzfalon keresztül.
- A példányok egy Standard SKU Azure Load Balancer háttérkészletében találhatók.
- Csatoljon egy nyilvános IP-címet a példány hálózati adapteréhez.
Egységes vezénylésű egypéldányos virtuális gépek és virtuálisgép-méretezési csoportok esetén a kimenő kapcsolat automatikusan létrejön.
Az explicit kimenő kapcsolatot igénylő gyakori forgatókönyvek a következők:
- A Windows rendszerű virtuális gépek aktiválásához meg kell adnia a virtuálisgép-példányból a Windows Aktiválási kulcskezelő szolgáltatás (KMS) felé irányuló kimenő kapcsolatot. További információ: Windows rendszerű virtuális gépek aktiválási problémáinak elhárítása.
- Hozzáférés tárfiókokhoz vagy Key Vaulthoz. Csatlakozás az Azure-szolgáltatásokhoz valóPrivát hivatkozás.
A biztonságos kimenő kapcsolatok meghatározásával kapcsolatos további részletekért tekintse meg az Alapértelmezett kimenő hozzáférés az Azure-ban című témakört.
További lépések
Az Azure-beli virtuális hálózatokról az Azure-beli virtuális hálózatok áttekintését ismertető dokumentumban talál további információt.