Végpontok beállítása klasszikus Linux rendszerű virtuális gépen az Azure-ban
Fontos
A klasszikus virtuális gépek 2023. március 1-jén megszűnnek.
Ha IaaS-erőforrásokat használ az ASM-ből, 2023. március 1-ig fejezze be a migrálást. Javasoljuk, hogy hamarabb végezze el a váltást, hogy kihasználhassa az Azure Resource Manager számos funkciófejlesztését.
További információ: IaaS-erőforrások migrálása az Azure Resource Manager-be 2023. március 1-ig.
Az Azure-ban a klasszikus üzemi modellel létrehozott linuxos virtuális gépek automatikusan kommunikálhatnak egy magánhálózati csatornán az ugyanazon a felhőszolgáltatáson vagy virtuális hálózaton található más virtuális gépekkel. Az interneten vagy más virtuális hálózatokon található számítógépeknek azonban végpontokra van szükségük ahhoz, hogy a bejövő hálózati forgalmat egy virtuális gépre irányítják. Ez a cikk Windows rendszerű virtuális gépekhez is elérhető.
Megjegyzés
Az Azure két különböző üzembe helyezési modellel rendelkezik az erőforrások létrehozásához és kezeléséhez: Resource Manager és klasszikus. Ez a cikk a klasszikus üzemi modell használatát ismerteti. A Microsoft azt javasolja, hogy az új telepítések esetén a Resource Manager modellt használja.
2017. november 15-től a virtuális gépek csak a Azure Portal lesznek elérhetők.
Az Resource Manager üzemi modellben a végpontok hálózati biztonsági csoportok (NSG-k) használatával vannak konfigurálva. További információ: Portok és végpontok megnyitása.
Amikor linuxos virtuális gépet hoz létre a Azure Portal, a Rendszer általában automatikusan létrehozza a Secure Shell (SSH) végpontját. A virtuális gép létrehozásakor vagy azt követően szükség szerint további végpontokat is konfigurálhat.
Minden végpont rendelkezik egy nyilvános és egy privát porttal:
- Az Azure Load Balancer a nyilvános portot használja a virtuális gép internetes bejövő forgalmának figyelésére.
- A privát portot a virtuális gép a bejövő forgalom figyelésére használja, amely általában a virtuális gépen futó alkalmazásra vagy szolgáltatásra irányul.
A jól ismert hálózati protokollok IP-protokolljának és TCP- vagy UDP-portjainak alapértelmezett értékeit akkor adja meg a rendszer, ha végpontokat hoz létre a Azure Portal. Egyéni végpontok esetén adja meg a megfelelő IP-protokollt (TCP vagy UDP), valamint a nyilvános és privát portokat. Ha a bejövő forgalmat véletlenszerűen szeretné elosztani több virtuális gép között, hozzon létre egy elosztott terhelésű készletet, amely több végpontból áll.
A végpont létrehozása után hozzáférés-vezérlési lista (ACL) használatával definiálhat olyan szabályokat, amelyek engedélyezik vagy letiltják a végpont nyilvános portjára érkező forgalmat a forrás IP-címe alapján. Ha azonban a virtuális gép egy Azure-beli virtuális hálózaton található, használjon inkább hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.
Megjegyzés
Az Azure-beli virtuális gépek tűzfalkonfigurációja automatikusan történik az Azure által automatikusan beállított távoli kapcsolati végpontokhoz társított portokon. Az összes többi végponthoz megadott portok esetében a rendszer nem végez automatikusan konfigurálást a virtuális gép tűzfalán. Amikor létrehoz egy végpontot a virtuális géphez, győződjön meg arról, hogy a virtuális gép tűzfala a végpontkonfigurációnak megfelelő protokoll és privát port forgalmát is engedélyezi. A tűzfal konfigurálásához tekintse meg a virtuális gépen futó operációs rendszer dokumentációját vagy online súgóját.
Végpont létrehozása
Jelentkezzen be az Azure Portalra.
Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gépet.
A Beállítások csoportban válassza a Végpontok lehetőséget. Megjelenik a Végpontok lap, amely felsorolja a virtuális gép összes aktuális végpontját. (Ez a példa Windows rendszerű virtuális gépekre mutat. A Linux rendszerű virtuális gépek alapértelmezés szerint egy SSH-végpontot fognak megjeleníteni.)
A végpont bejegyzései feletti parancssávon válassza a Hozzáadás lehetőséget. Megjelenik a Végpont hozzáadása lap.
A Név mezőbe írja be a végpont nevét.
Protokoll esetén válassza a TCP vagy az UDP lehetőséget.
Nyilvános port esetén adja meg az internetről bejövő forgalom portszámát.
Privát portként adja meg azt a portszámot, amelyen a virtuális gép figyel. A nyilvános és a privát portszám eltérő lehet. Győződjön meg arról, hogy a virtuális gép tűzfala úgy van konfigurálva, hogy engedélyezze a protokollnak és a privát portnak megfelelő forgalmat.
Válassza az OK lehetőséget.
Az új végpont megjelenik a Végpontok lapon.
Az ACL kezelése egy végponton
A forgalmat küldő számítógépek halmazának meghatározásához a végpont ACL-je korlátozhatja a forgalmat a forrás IP-címe alapján. Kövesse az alábbi lépéseket egy ACL végponton való hozzáadásához, módosításához vagy eltávolításához.
Megjegyzés
Ha a végpont egy elosztott terhelésű készlet része, a rendszer a végponton végzett ACL-módosításokat a készlet összes végpontjára alkalmazza.
Ha a virtuális gép Egy Azure-beli virtuális hálózaton található, ACL-ek helyett használjon hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.
Jelentkezzen be az Azure Portalra.
Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gép nevét.
Válassza a Végpontok lehetőséget. A végpontok listájából válassza ki a megfelelő végpontot. Az ACL-lista a lap alján található.
A lista sorait használva adhat hozzá, törölhet vagy szerkeszthet szabályokat egy ACL-hez, és módosíthatja azok sorrendjét. A TÁVOLI ALHÁLÓZAT érték az internetről érkező bejövő forgalom IP-címtartománya, amelyet az Azure Load Balancer a forrás IP-címe alapján a forgalom engedélyezésére vagy letiltására használ. Ügyeljen arra, hogy az IP-címtartományt osztály nélküli tartományközi útválasztási (CIDR) formátumban, más néven címelőtag-formátumban adja meg. Például:
10.1.0.0/8
.
Szabályok használatával csak az internethez tartozó számítógépekről érkező forgalmat engedélyezheti, vagy letilthatja adott ismert címtartományokból érkező forgalmat.
A szabályok kiértékelése sorrendben történik az első szabálytól kezdve az utolsó szabályig. Ezért a szabályokat a legkevésbé korlátozótól a legszigorúbbig kell elrendelni. További információ: Mi az a hálózati Access Control lista.
Következő lépések
- Virtuálisgép-végpontot az Azure Command-Line Interface használatával is létrehozhat. Futtassa az Azure-beli virtuális gép végpontjának létrehozási parancsát.
- Ha a Resource Manager üzemi modellben hozott létre virtuális gépet, az Azure CLI-vel Resource Manager módban hálózati biztonsági csoportokat hozhat létre a virtuális gép forgalmának vezérléséhez.