Végpontok beállítása Windows rendszerű virtuális gépen a klasszikus üzemi modellel

Fontos

A klasszikus virtuális gépeket 2023. március 1-jén kivonjuk.

Ha IaaS-erőforrásokat használ az ASM-ből, 2023. március 1-ig fejezze be a migrálást. Javasoljuk, hogy előbb végezze el a váltást, hogy kihasználhassa az Azure Resource Manager számos funkciófejlesztését.

További információ: IaaS-erőforrások migrálása az Azure Resource Manager-be 2023. március 1-ig.

Az Azure-ban a klasszikus üzemi modellel létrehozott Windows rendszerű virtuális gépek automatikusan kommunikálhatnak egy magánhálózati csatornán ugyanazon a felhőszolgáltatáson vagy virtuális hálózaton található más virtuális gépekkel. Az interneten vagy más virtuális hálózatokon található számítógépeknek azonban végpontokra van szükségük ahhoz, hogy a bejövő hálózati forgalmat egy virtuális géphez irányítják.

Végpontokat linuxos virtuális gépeken is beállíthat.

Fontos

Az Azure két különböző üzembehelyezési modellel rendelkezik az erőforrások létrehozásához és kezeléséhez: Resource Manager és klasszikus. Ez a cikk a klasszikus üzembehelyezési modellt ismerteti. A Microsoft azt javasolja, hogy az új telepítések esetén a Resource Manager modellt használja.

2017. november 15-től a virtuális gépek csak a Azure Portal érhetők el.

A Resource Manager üzemi modellben a végpontok hálózati biztonsági csoportok (NSG-k) használatával vannak konfigurálva. További információ: A virtuális géphez való külső hozzáférés engedélyezése a Azure Portal használatával.

Amikor windowsos virtuális gépet hoz létre a Azure Portal, a rendszer általában automatikusan létrehozza a gyakori végpontokat, például a távoli asztal végpontjait és a Windows PowerShell újraküldést. Később szükség szerint további végpontokat is konfigurálhat.

Minden végpont rendelkezik nyilvános porttal és privát porttal:

• Az Azure load balancer a nyilvános portot használja a virtuális gép internetes bejövő forgalmának figyelésére.
• A privát portot a virtuális gép használja a bejövő forgalom figyelésére, amely általában egy, a virtuális gépen futó alkalmazásra vagy szolgáltatásra irányul.

A jól ismert hálózati protokollokhoz tartozó IP-protokoll és TCP- vagy UDP-portok alapértelmezett értékei a Azure Portal végpontok létrehozásakor lesznek megadva. Egyéni végpontok esetén adja meg a megfelelő IP-protokollt (TCP vagy UDP), valamint a nyilvános és privát portokat. Ha a bejövő forgalmat véletlenszerűen szeretné elosztani több virtuális gép között, hozzon létre egy elosztott terhelésű készletet, amely több végpontból áll.

A végpont létrehozása után egy hozzáférés-vezérlési listával (ACL) definiálhat olyan szabályokat, amelyek engedélyezik vagy letiltják a végpont nyilvános portjára érkező forgalmat a forrás IP-címe alapján. Ha azonban a virtuális gép egy Azure-beli virtuális hálózatban található, használjon inkább hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.

Megjegyzés

Az Azure-beli virtuális gépek tűzfalkonfigurációja automatikusan megtörténik az Azure által automatikusan beállított távoli kapcsolati végpontokhoz társított portokon. Az összes többi végponthoz megadott portok esetében a rendszer nem végez automatikusan konfigurációt a virtuális gép tűzfalán. Amikor végpontot hoz létre a virtuális géphez, győződjön meg arról, hogy a virtuális gép tűzfala a végpont konfigurációjának megfelelő protokoll és privát port forgalmát is engedélyezi. A tűzfal konfigurálásához tekintse meg a virtuális gépen futó operációs rendszer dokumentációját vagy online súgóját.

Végpont létrehozása

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gépet.

3. Válassza a Végpontok lehetőséget a Beállítások csoportban. Megjelenik a Végpontok lap, amely felsorolja a virtuális gép összes aktuális végpontját. (Ez a példa Windows rendszerű virtuális gépekre mutat be. A Linux rendszerű virtuális gépek alapértelmezés szerint egy SSH-végpontot fognak megjeleníteni.)

   

4. A végpontbejegyzések feletti parancssávon válassza a Hozzáadás lehetőséget. Megjelenik a Végpont hozzáadása lap.

5. A Név mezőbe írja be a végpont nevét.

6. Protokoll esetén válassza a TCP vagy az UDP lehetőséget.

7. Nyilvános port esetén adja meg az internetről bejövő forgalom portszámát.

8. Privát port esetén adja meg azt a portszámot, amelyen a virtuális gép figyel. A nyilvános és a privát portszám eltérő lehet. Győződjön meg arról, hogy a virtuális gép tűzfala úgy van konfigurálva, hogy engedélyezze a protokollnak és a privát portnak megfelelő forgalmat.

9. Válassza az OK lehetőséget.

Az új végpont megjelenik a Végpontok lapon.

Az ACL kezelése egy végponton

A forgalmat küldő számítógépek halmazának meghatározásához a végpont ACL-je korlátozhatja a forgalmat a forrás IP-címe alapján. Az alábbi lépéseket követve adhat hozzá, módosíthat vagy távolíthat el ACL-t egy végponton.

Megjegyzés

Ha a végpont egy elosztott terhelésű készlet része, a rendszer a végponton végzett ACL-módosításokat a készlet összes végpontjára alkalmazza.

Ha a virtuális gép Azure-beli virtuális hálózatban található, ACL-ek helyett használjon hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.

1. Jelentkezzen be az Azure Portalra.

2. Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gép nevét.

3. Válassza a Végpontok lehetőséget. A végpontok listájában válassza ki a megfelelő végpontot. Az ACL-lista a lap alján található.

   

4. A lista sorait használva adhat hozzá, törölhet vagy szerkeszthet szabályokat egy ACL-hez, és módosíthatja azok sorrendjét. A TÁVOLI ALHÁLÓZAT értéke egy IP-címtartomány az internetről bejövő forgalomhoz, amelyet az Azure terheléselosztó a forrás IP-címe alapján a forgalom engedélyezésére vagy letiltására használ. Ügyeljen arra, hogy az IP-címtartományt osztály nélküli tartományközi útválasztási (CIDR) formátumban, más néven címelőtag formátumban adja meg. Például: 10.1.0.0/8.

Szabályok használatával csak az internethez tartozó adott számítógépekről érkező forgalmat engedélyezheti, vagy letilthatja a forgalmat adott ismert címtartományokból.

A szabályok kiértékelése az első szabálytól kezdve az utolsó szabályig tart. Ezért a szabályokat a legkevésbé korlátozótól a legszigorúbbig kell elrendelni. További információ: Mi az a hálózati Access Control lista.

Következő lépések

• Ha Azure PowerShell parancsmagot szeretne használni egy virtuálisgép-végpont beállításához, olvassa el az Add-AzureEndpoint című témakört.
• Ha Azure PowerShell parancsmagot szeretne használni egy végpont ACL-jének kezeléséhez, tekintse meg a végpontok hozzáférés-vezérlési listáinak (ACL-jeinek) a PowerShell használatával történő kezelését ismertető cikket.
• Ha létrehozott egy virtuális gépet a Resource Manager üzembehelyezési modellben, a Azure PowerShell használatával hálózati biztonsági csoportokat hozhat létre a virtuális gép felé történő forgalom szabályozásához.