Portok és végpontok megnyitása virtuális gépre a PowerShell használatával

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rugalmas méretezési ✔️ virtuális gépekhez

Egy port megnyitásával vagy egy végpont létrehozásával egy azure-beli virtuális gépen (VM) létrehozhat egy hálózati szűrőt egy alhálózaton vagy egy virtuálisgép-hálózati adapteren. Ezeket a szűrőket, amelyek a bejövő és a kimenő forgalmat is szabályják, a forgalmat megkapó erőforráshoz csatolt hálózati biztonsági csoporton kell tartani.

A cikkben található példa bemutatja, hogyan hozhat létre a szabványos 80-as TCP-portot használó hálózati szűrőt (feltételezzük, hogy már elindította a megfelelő szolgáltatásokat, és megnyitotta az operációs rendszer tűzfalszabályát a virtuális gépen).

Miután létrehozott egy virtuális gépet, amely webes kérések kiszolgálására van konfigurálva a szabványos 80-as TCP-porton, a következőt tudja:

  1. Egy hálózati biztonsági csoport létrehozása;

  2. Hozzon létre egy bejövő biztonsági szabályt, amely engedélyezi a forgalmat, és rendeljen értékeket a következő beállításokhoz:

    • Célporttartományok:80

    • Forrásporttartományok:* (bármely forrásportot engedélyezi)

    • Prioritásiérték: Olyan értéket adjon meg, amely 65 500-asnál kisebb és magasabb prioritású, mint az alapértelmezett catch-all deny inbound szabály.

  3. Társítsa a hálózati biztonsági csoportot a virtuális gép hálózati adapterével vagy alhálózatával.

Bár ez a példa egy egyszerű szabályt használ a HTTP-forgalom engedélyezése érdekében, hálózati biztonsági csoportokkal és szabályokkal összetettebb hálózati konfigurációkat is létrehozhat.

Gyors parancsok

Hálózati biztonsági csoport és ACL-szabályok létrehozásához telepítenie kell a Azure PowerShell verzióját. Ezeket a lépéseket a következővel is Azure Portal.

Jelentkezzen be az Azure-fiókjába:

Connect-AzAccount

A következő példákban cserélje le a paraméterneveket a saját értékeire. A paraméternevek közé tartozik például a myResourceGroup,a myNetworkSecurityGroupés a myVnet.

Hozzon létre egy szabályt a New-AzNetworkSecurityRuleConfig segítségével. Az alábbi példa létrehoz egy myNetworkSecurityGroupRule nevű szabályt, amely engedélyezi a TCP-forgalmat a 80-as porton:

$httprule = New-AzNetworkSecurityRuleConfig `
    -Name "myNetworkSecurityGroupRule" `
    -Description "Allow HTTP" `
    -Access "Allow" `
    -Protocol "Tcp" `
    -Direction "Inbound" `
    -Priority "100" `
    -SourceAddressPrefix "Internet" `
    -SourcePortRange * `
    -DestinationAddressPrefix * `
    -DestinationPortRange 80

Ezután hozza létre a hálózati biztonsági csoportot a New-AzNetworkSecurityGroup használatával, és rendelje hozzá az előbb létrehozott HTTP-szabályt az alábbiak szerint. Az alábbi példa egy myNetworkSecurityGroupnevű hálózati biztonsági csoportot hoz létre:

$nsg = New-AzNetworkSecurityGroup `
    -ResourceGroupName "myResourceGroup" `
    -Location "EastUS" `
    -Name "myNetworkSecurityGroup" `
    -SecurityRules $httprule

Most rendelje hozzá a hálózati biztonsági csoportot egy alhálózathoz. Az alábbi példa egy meglévő, myVnet nevű virtuális hálózatot rendel a Get-AzVirtualNetwork $vnet változóhoz:

$vnet = Get-AzVirtualNetwork `
    -ResourceGroupName "myResourceGroup" `
    -Name "myVnet"

Társítsa a hálózati biztonsági csoportot az alhálózathoz a Set-AzVirtualNetworkSubnetConfig alhálózattal. Az alábbi példa a mySubnet nevű alhálózatot társítja a hálózati biztonsági csoporthoz:

$subnetPrefix = $vnet.Subnets|?{$_.Name -eq 'mySubnet'}

Set-AzVirtualNetworkSubnetConfig `
    -VirtualNetwork $vnet `
    -Name "mySubnet" `
    -AddressPrefix $subnetPrefix.AddressPrefix `
    -NetworkSecurityGroup $nsg

Végül frissítse a virtuális hálózatot a Set-AzVirtualNetwork parancsra, hogy a módosítások életbe lépnek:

Set-AzVirtualNetwork -VirtualNetwork $vnet

További információ a hálózati biztonsági csoportokról

Az itt található gyors parancsok lehetővé teszik, hogy a virtuális gépre áramló forgalmat futtasa. A hálózati biztonsági csoportok számos nagyszerű funkciót és részletességet biztosítanak az erőforrásokhoz való hozzáférés szabályozásához. A hálózati biztonsági csoportok és ACL-szabályok létrehozásáról itt olvashat bővebben.

A magas rendelkezésre álló webalkalmazások esetében a virtuális gépeket egy virtuális gép mögé Azure Load Balancer. A terheléselosztás elosztja a forgalmat a virtuális gépek között egy hálózati biztonsági csoporttal, amely biztosítja a forgalom szűrését. További információ: Linux rendszerű virtuális gépek terheléselosztása az Azure-ban magas rendelkezésre álló alkalmazás létrehozásához.

Következő lépések

Ebben a példában létrehozott egy egyszerű szabályt, amely engedélyezi a HTTP-forgalmat. Részletesebb környezetek létrehozásával kapcsolatos információkat a következő cikkekben talál: