Végpontok beállítása klasszikus Linux rendszerű virtuális gépen az Azure-ban

  • Cikk

Fontos

A klasszikus virtuális gépek 2023. március 1-jén megszűnnek.

Ha IaaS-erőforrásokat használ az ASM-ből, 2023. március 1-ig fejezze be a migrálást. Javasoljuk, hogy hamarabb végezze el a váltást, hogy kihasználhassa az Azure Resource Manager számos funkciófejlesztését.

További információ: IaaS-erőforrások migrálása az Azure Resource Manager-be 2023. március 1-ig.

Az Azure-ban a klasszikus üzemi modellel létrehozott linuxos virtuális gépek automatikusan kommunikálhatnak egy magánhálózati csatornán az ugyanazon a felhőszolgáltatáson vagy virtuális hálózaton található más virtuális gépekkel. Az interneten vagy más virtuális hálózatokon található számítógépeknek azonban végpontokra van szükségük ahhoz, hogy a bejövő hálózati forgalmat egy virtuális gépre irányítják. Ez a cikk Windows rendszerű virtuális gépekhez is elérhető.

Megjegyzés

Az Azure két különböző üzembe helyezési modellel rendelkezik az erőforrások létrehozásához és kezeléséhez: Resource Manager és klasszikus. Ez a cikk a klasszikus üzemi modell használatát ismerteti. A Microsoft azt javasolja, hogy az új telepítések esetén a Resource Manager modellt használja.

2017. november 15-től a virtuális gépek csak a Azure Portal lesznek elérhetők.

Az Resource Manager üzemi modellben a végpontok hálózati biztonsági csoportok (NSG-k) használatával vannak konfigurálva. További információ: Portok és végpontok megnyitása.

Amikor linuxos virtuális gépet hoz létre a Azure Portal, a Rendszer általában automatikusan létrehozza a Secure Shell (SSH) végpontját. A virtuális gép létrehozásakor vagy azt követően szükség szerint további végpontokat is konfigurálhat.

Minden végpont rendelkezik egy nyilvános és egy privát porttal:

  • Az Azure Load Balancer a nyilvános portot használja a virtuális gép internetes bejövő forgalmának figyelésére.
  • A privát portot a virtuális gép a bejövő forgalom figyelésére használja, amely általában a virtuális gépen futó alkalmazásra vagy szolgáltatásra irányul.

A jól ismert hálózati protokollok IP-protokolljának és TCP- vagy UDP-portjainak alapértelmezett értékeit akkor adja meg a rendszer, ha végpontokat hoz létre a Azure Portal. Egyéni végpontok esetén adja meg a megfelelő IP-protokollt (TCP vagy UDP), valamint a nyilvános és privát portokat. Ha a bejövő forgalmat véletlenszerűen szeretné elosztani több virtuális gép között, hozzon létre egy elosztott terhelésű készletet, amely több végpontból áll.

A végpont létrehozása után hozzáférés-vezérlési lista (ACL) használatával definiálhat olyan szabályokat, amelyek engedélyezik vagy letiltják a végpont nyilvános portjára érkező forgalmat a forrás IP-címe alapján. Ha azonban a virtuális gép egy Azure-beli virtuális hálózaton található, használjon inkább hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.

Megjegyzés

Az Azure-beli virtuális gépek tűzfalkonfigurációja automatikusan történik az Azure által automatikusan beállított távoli kapcsolati végpontokhoz társított portokon. Az összes többi végponthoz megadott portok esetében a rendszer nem végez automatikusan konfigurálást a virtuális gép tűzfalán. Amikor létrehoz egy végpontot a virtuális géphez, győződjön meg arról, hogy a virtuális gép tűzfala a végpontkonfigurációnak megfelelő protokoll és privát port forgalmát is engedélyezi. A tűzfal konfigurálásához tekintse meg a virtuális gépen futó operációs rendszer dokumentációját vagy online súgóját.

Végpont létrehozása

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gépet.

  3. A Beállítások csoportban válassza a Végpontok lehetőséget. Megjelenik a Végpontok lap, amely felsorolja a virtuális gép összes aktuális végpontját. (Ez a példa Windows rendszerű virtuális gépekre mutat. A Linux rendszerű virtuális gépek alapértelmezés szerint egy SSH-végpontot fognak megjeleníteni.)

    Végpontok

  4. A végpont bejegyzései feletti parancssávon válassza a Hozzáadás lehetőséget. Megjelenik a Végpont hozzáadása lap.

  5. A Név mezőbe írja be a végpont nevét.

  6. Protokoll esetén válassza a TCP vagy az UDP lehetőséget.

  7. Nyilvános port esetén adja meg az internetről bejövő forgalom portszámát.

  8. Privát portként adja meg azt a portszámot, amelyen a virtuális gép figyel. A nyilvános és a privát portszám eltérő lehet. Győződjön meg arról, hogy a virtuális gép tűzfala úgy van konfigurálva, hogy engedélyezze a protokollnak és a privát portnak megfelelő forgalmat.

  9. Válassza az OK lehetőséget.

Az új végpont megjelenik a Végpontok lapon.

A végpont létrehozása sikeres

Az ACL kezelése egy végponton

A forgalmat küldő számítógépek halmazának meghatározásához a végpont ACL-je korlátozhatja a forgalmat a forrás IP-címe alapján. Kövesse az alábbi lépéseket egy ACL végponton való hozzáadásához, módosításához vagy eltávolításához.

Megjegyzés

Ha a végpont egy elosztott terhelésű készlet része, a rendszer a végponton végzett ACL-módosításokat a készlet összes végpontjára alkalmazza.

Ha a virtuális gép Egy Azure-beli virtuális hálózaton található, ACL-ek helyett használjon hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.

  1. Jelentkezzen be az Azure Portalra.

  2. Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gép nevét.

  3. Válassza a Végpontok lehetőséget. A végpontok listájából válassza ki a megfelelő végpontot. Az ACL-lista a lap alján található.

    Az ACL részleteinek megadása

  4. A lista sorait használva adhat hozzá, törölhet vagy szerkeszthet szabályokat egy ACL-hez, és módosíthatja azok sorrendjét. A TÁVOLI ALHÁLÓZAT érték az internetről érkező bejövő forgalom IP-címtartománya, amelyet az Azure Load Balancer a forrás IP-címe alapján a forgalom engedélyezésére vagy letiltására használ. Ügyeljen arra, hogy az IP-címtartományt osztály nélküli tartományközi útválasztási (CIDR) formátumban, más néven címelőtag-formátumban adja meg. Például: 10.1.0.0/8.

Új ACL-bejegyzés

Szabályok használatával csak az internethez tartozó számítógépekről érkező forgalmat engedélyezheti, vagy letilthatja adott ismert címtartományokból érkező forgalmat.

A szabályok kiértékelése sorrendben történik az első szabálytól kezdve az utolsó szabályig. Ezért a szabályokat a legkevésbé korlátozótól a legszigorúbbig kell elrendelni. További információ: Mi az a hálózati Access Control lista.

Következő lépések

  • Virtuálisgép-végpontot az Azure Command-Line Interface használatával is létrehozhat. Futtassa az Azure-beli virtuális gép végpontjának létrehozási parancsát.
  • Ha a Resource Manager üzemi modellben hozott létre virtuális gépet, az Azure CLI-vel Resource Manager módban hálózati biztonsági csoportokat hozhat létre a virtuális gép forgalmának vezérléséhez.