Configurare un gruppo di sicurezza di rete per i file system lustre gestiti di Azure
I gruppi di sicurezza di rete possono essere configurati per filtrare il traffico di rete in ingresso e in uscita da e verso le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete può contenere regole di sicurezza che filtrano il traffico di rete in base all'indirizzo IP, alla porta e al protocollo. Quando un gruppo di sicurezza di rete è associato a una subnet, le regole di sicurezza vengono applicate alle risorse distribuite in tale subnet.
Questo articolo descrive come configurare le regole del gruppo di sicurezza di rete per proteggere l'accesso a un cluster del file system lustre gestito di Azure come parte di una strategia di Zero Trust.
Prerequisiti
- Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
- Una rete virtuale con una subnet configurata per consentire il supporto del file system lustre gestito di Azure. Per altre informazioni, vedere Prerequisiti di rete.
- Un file system lustre gestito di Azure distribuito nella sottoscrizione di Azure. Per altre informazioni, vedere Creare un file system lustre gestito di Azure.
Creare e configurare un gruppo di sicurezza di rete
È possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita rispettivamente verso o da diversi tipi di risorse di Azure. Per ogni regola è possibile specificare l'origine e la destinazione, la porta e il protocollo.
Per creare un gruppo di sicurezza di rete nel portale di Azure, seguire questa procedura:
Nella casella di ricerca nella parte superiore del portale immettere Gruppo di sicurezza di rete. Selezionare Gruppi di sicurezza di rete nei risultati della ricerca.
Selezionare [+] Create ([+] Crea).
Nella pagina Crea gruppo di sicurezza di rete immettere o selezionare i valori seguenti nella scheda Informazioni di base :
Impostazione Azione Dettagli del progetto Subscription Selezionare la sottoscrizione di Azure. Resource group Selezionare un gruppo di risorse esistente oppure crearne uno nuovo selezionando Crea nuovo. In questo esempio viene usato il gruppo di risorse sample-rg . Dettagli istanza Nome del gruppo di sicurezza di rete Immettere un nome per il gruppo di sicurezza di rete che si sta creando. Region Selezionare l'area desiderata. 
Selezionare Rivedi e crea.
Dopo aver visualizzato il messaggio Convalida superata , selezionare Crea.
Associare il gruppo di sicurezza di rete a una subnet
Dopo aver creato il gruppo di sicurezza di rete, è possibile associarlo alla subnet univoca nella rete virtuale in cui è presente il file system lustre gestito di Azure. Per associare il gruppo di sicurezza di rete a una subnet usando il portale di Azure, seguire questa procedura:
Nella casella di ricerca nella parte superiore del portale immettere Gruppo di sicurezza di rete e selezionare Gruppi di sicurezza di rete nei risultati della ricerca.
Selezionare il nome del gruppo di sicurezza di rete e quindi subnet.
Per associare un gruppo di sicurezza di rete alla subnet, selezionare + Associa, quindi selezionare la rete virtuale e la subnet a cui si vuole associare il gruppo di sicurezza di rete. Selezionare OK.
Configurare le regole del gruppo di sicurezza di rete
Per configurare le regole del gruppo di sicurezza di rete per il supporto del file system lustre gestito di Azure, è possibile aggiungere regole di sicurezza in ingresso e in uscita al gruppo di sicurezza di rete associato alla subnet in cui viene distribuito il file system lustre gestito di Azure. Le sezioni seguenti descrivono come creare e configurare le regole di sicurezza in ingresso e in uscita che consentono il supporto del file system lustre gestito di Azure.
Nota
Le regole di sicurezza illustrate in questa sezione vengono configurate in base a una distribuzione di test del file system di Lustre gestita di Azure nell'area Stati Uniti orientali, con l'integrazione dell'archiviazione BLOB abilitata. Sarà necessario modificare le regole in base all'area di distribuzione, all'indirizzo IP della subnet di rete virtuale e ad altre impostazioni di configurazione per il file system lustre gestito di Azure.
Creare regole di sicurezza in ingresso
È possibile creare regole di sicurezza in ingresso nel portale di Azure. L'esempio seguente illustra come creare e configurare una nuova regola di sicurezza in ingresso:
- Nella portale di Azure aprire la risorsa del gruppo di sicurezza di rete creata nel passaggio precedente.
- Selezionare Regole di sicurezza in ingresso in Impostazioni.
- Selezionare + Aggiungi.
- Nel riquadro Aggiungi regola di sicurezza in ingresso configurare le impostazioni per la regola e selezionare Aggiungi.
Aggiungere le regole in ingresso seguenti al gruppo di sicurezza di rete:
| Priorità | Nome | Porta | Protocollo | Source (Sorgente) | Destination | Azione | Descrizione |
|---|---|---|---|---|---|---|---|
| 110 | rule-name | Qualsiasi | Qualsiasi | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | Allow | Consentire flussi di protocollo o porta tra host nella subnet del file system gestito di Lustre di Azure. |
| 111 | rule-name | 988 | TCP | Indirizzo IP/intervallo CIDR per la subnet client Lustre | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | Allow | Consentire la comunicazione tra la subnet del client Lustre e la subnet del file system lustre gestito di Azure. Consente solo le porte TCP di origine 1020-1023 e la porta di destinazione 988. |
| 112 | rule-name | Qualsiasi | TCP | AzureMonitor |
VirtualNetwork |
Allow | Consentire i flussi in ingresso dal tag del servizio AzureMonitor. Consente solo la porta di origine TCP 443. |
| 120 | rule-name | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Nega | Negare tutti gli altri flussi in ingresso. |
Le regole di sicurezza in ingresso nel portale di Azure dovrebbero essere simili allo screenshot seguente. È necessario modificare l'intervallo DI INDIRIZZI IP/CIDR della subnet e altre impostazioni in base alla distribuzione:
Creare regole di sicurezza in uscita
È possibile creare regole di sicurezza in uscita nel portale di Azure. L'esempio seguente illustra come creare e configurare una nuova regola di sicurezza in uscita:
- Nella portale di Azure aprire la risorsa del gruppo di sicurezza di rete creata in un passaggio precedente.
- In Impostazioni selezionare Regole di sicurezza in uscita.
- Selezionare + Aggiungi.
- Nel riquadro Aggiungi regola di sicurezza in uscita configurare le impostazioni per la regola e selezionare Aggiungi.
Aggiungere le regole in uscita seguenti al gruppo di sicurezza di rete:
| Priorità | Nome | Porta | Protocollo | Source (Sorgente) | Destination | Azione | Descrizione |
|---|---|---|---|---|---|---|---|
| 100 | rule-name | 443 | TCP | VirtualNetwork |
AzureMonitor |
Allow | Consentire i flussi in uscita al tag del AzureMonitor servizio. Solo porta di destinazione TCP 443. |
| 101 | rule-name | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Allow | Consentire i flussi in uscita al tag del AzureKeyVault.EastUS servizio. Solo porta di destinazione TCP 443. |
| 102 | rule-name | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Allow | Consentire i flussi in uscita al tag del AzureActiveDirectory servizio. Solo porta di destinazione TCP 443. |
| 103 | rule-name | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Allow | Consentire i flussi in uscita al tag del Storage.EastUS servizio. Solo porta di destinazione TCP 443. |
| 104 | rule-name | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Allow | Consente flussi in uscita al tag del GuestAndHybridManagement servizio. Solo porta di destinazione TCP 443. |
| 105 | rule-name | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Allow | Consentire i flussi in uscita al tag del ApiManagement.EastUS servizio. Solo porta di destinazione TCP 443. |
| 106 | rule-name | 443 | TCP | VirtualNetwork |
AzureDataLake |
Allow | Consentire i flussi in uscita al tag del AzureDataLake servizio. Solo porta di destinazione TCP 443. |
| 107 | rule-name | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Allow | Consente flussi in uscita al tag del AzureResourceManager servizio. Solo porta di destinazione TCP 443. |
| 108 | rule-name | 1020-1023 | TCP | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | Indirizzo IP/intervallo CIDR per la subnet client Lustre | Allow | Consentire flussi in uscita per il file system lustre gestito di Azure al client Lustre. Porta di origine TCP 988, solo porte di destinazione 1020-1023. |
| 109 | rule-name | 123 | UDP | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | 168.61.215.74/32 | Allow | Consentire flussi in uscita al server MS NTP (168.61.215.74). Solo porta di destinazione UDP 123. |
| 110 | rule-name | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Allow | Consentire flussi in uscita ai dati di telemetria di Lustre gestiti di Azure (20.45.120.0/21). Solo porta di destinazione TCP 443. |
| 111 | rule-name | Qualsiasi | Qualsiasi | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | Indirizzo IP/intervallo CIDR per la subnet del file system lustre gestito di Azure | Allow | Consentire flussi di protocollo o porta tra host nella subnet del file system gestito di Lustre di Azure. |
| 1000 | rule-name | Qualsiasi | Qualsiasi | VirtualNetwork |
Internet |
Nega | Negare i flussi in uscita a Internet. |
| 1010 | rule-name | Qualsiasi | Qualsiasi | Qualsiasi | Qualsiasi | Nega | Negare tutti gli altri flussi in uscita. |
Le regole di sicurezza in uscita nel portale di Azure dovrebbero essere simili allo screenshot seguente. È necessario modificare l'intervallo DI INDIRIZZI IP/CIDR della subnet e altre impostazioni in base alla distribuzione:
Passaggi successivi
Per altre informazioni su Lustre gestito di Azure, vedere gli articoli seguenti:
Per altre informazioni sui gruppi di sicurezza di rete di Azure, vedere gli articoli seguenti:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per