Impostare gli endpoint su una macchina virtuale Windows usando il modello di distribuzione classico

Importante

Le VM classiche verranno ritirate il 1° marzo 2023.

Se si usano risorse IaaS di ASM, completare la migrazione entro il 1° marzo 2023. È consigliabile effettuare quanto prima questo passaggio per sfruttare i vantaggi delle numerose funzionalità avanzate di Azure Resource Manager.

Per altre informazioni, vedere Eseguire la migrazione delle risorse IaaS ad Azure Resource Manager entro il 1° marzo 2023.

Le macchine virtuali (VM) Windows create in Azure con il modello di distribuzione classico possono comunicare automaticamente mediante un canale di rete privato con altre macchine virtuali dello stesso servizio cloud o nella stessa rete virtuale. Tuttavia, i computer in Internet o altre reti virtuali richiedono gli endpoint per indirizzare il traffico di rete in ingresso a una macchina virtuale.

È anche possibile impostare gli endpoint su macchine virtuali Linux.

Importante

Azure offre due modelli di distribuzione diversi per creare e usare le risorse: Resource Manager e distribuzione classica. In questo articolo viene illustrato il modello di distribuzione classica. Microsoft consiglia di usare il modello di Gestione risorse per le distribuzioni più recenti.

A partire dal 15 novembre 2017, le macchine virtuali saranno disponibili solo nei portale di Azure.

In the Resource Manager gli endpoint vengono configurati tramite Gruppi di sicurezza di rete. Per altre informazioni, vedere Consentire l'accesso esterno alla VM mediante il portale di Azure.

Quando si crea una macchina virtuale Windows nel portale di Azure, gli endpoint comuni, ad esempio quelli di Desktop remoto e Comunicazione remota di Windows PowerShell, sono in genere creati automaticamente. È possibile configurare altri endpoint in un secondo momento in base alle esigenze.

Ogni endpoint ha una porta pubblica e una porta privata:

• La porta pubblica viene usata dal servizio di bilanciamento del carico di Azure per restare in attesa di traffico in ingresso sulla macchina virtuale da Internet.
• La porta privata viene usata dalla macchina virtuale per restare in attesa di traffico in ingresso, in genere destinato a un'applicazione o a un servizio in esecuzione nella macchina virtuale.

I valori predefiniti per il protocollo IP e le porte TCP o UDP per i protocolli di rete noti vengono forniti quando si creano endpoint con il portale di Azure. Per gli endpoint personalizzati, specificare il protocollo IP corretto (TCP o UDP) e le porte pubbliche e private. Per distribuire il traffico in ingresso in modo casuale tra più macchine virtuali, creare un set con carico bilanciato costituito da più endpoint.

Dopo aver creato un endpoint, è possibile usare un elenco di controllo di accesso (ACL) per definire regole che autorizzano o rifiutano il traffico in ingresso alla porta pubblica dell'endpoint in base al relativo indirizzo IP di origine. Tuttavia, se la macchina virtuale è in una rete virtuale di Azure, usare invece i gruppi di sicurezza di rete. Per altre informazioni, vedere Informazioni sui gruppi di sicurezza di rete.

Nota

La configurazione del firewall per le macchine virtuali di Azure viene eseguita automaticamente per le porte associate agli endpoint di connettività remota configurati automaticamente da Azure. Per le porte specificate per tutti gli altri endpoint, non viene effettuata alcuna configurazione automatica del firewall della macchina virtuale. Quando si crea un endpoint per la macchina virtuale, assicurarsi che il firewall della macchina virtuale consenta anche il traffico per il protocollo e la porta privata corrispondente alla configurazione dell'endpoint. Per configurare il firewall, vedere la documentazione o la Guida in linea per il sistema operativo in esecuzione sulla macchina virtuale.

Creare un endpoint

1. Accedere al portale di Azure.

2. Selezionare Macchine virtuali e quindi scegliere la macchina virtuale da configurare.

3. Nella gruppo Impostazioni selezionare Endpoint. Viene visualizzata la pagina Endpoint, in cui sono elencati tutti gli endpoint correnti per la macchina virtuale. Questo esempio è per una macchina virtuale Windows. Per impostazione predefinita, una macchina virtuale Linux mostra un endpoint per SSH.

   

4. Nella barra dei comandi sopra le voci di endpoint selezionare Aggiungi. Verrà visualizzata la pagina Aggiungi endpoint.

5. Per Nome, inserire un nome per l'endpoint.

6. Per Protocollo, scegliere TCP o UDP.

7. Per Porta pubblica, digitare il numero di porta per il traffico in ingresso da Internet.

8. Per Porta privata, digitare il numero di porta su cui la macchina virtuale è in attesa. I numeri di porta pubblica e privata possono essere diversi. Assicurarsi che il firewall nella macchina virtuale sia stato configurato per consentire il traffico corrispondente al protocollo e alla porta privata.

9. Selezionare OK.

Il nuovo endpoint è ora elencato nella pagina Endpoint.

Gestire l'elenco di controllo di accesso su un endpoint

Per definire il set di computer che può inviare il traffico, l'elenco di controllo di accesso in un endpoint può limitare il traffico in base all'indirizzo IP di origine. Per aggiungere, modificare o rimuovere un elenco di controllo di accesso su un endpoint, attenersi alla procedura seguente.

Nota

se l'endpoint fa parte di un set con carico bilanciato, qualsiasi modifica apportata all'elenco di controllo di accesso su un endpoint verrà applicata a tutti gli endpoint del set.

Se la macchina virtuale si trova in una rete virtuale di Azure, usare i gruppi di sicurezza di rete anziché gli elenchi di controllo di accesso. Per altre informazioni, vedere Informazioni sui gruppi di sicurezza di rete.

1. Accedere al portale di Azure.

2. Selezionare Macchine virtuali e quindi selezionare il nome della macchina virtuale da configurare.

3. Selezionare Endpoint. Nell'elenco degli endpoint selezionare l'endpoint appropriato. L'elenco di controllo si trova nella parte inferiore della pagina.

   

4. Usare le righe nell'elenco per aggiungere, eliminare o modificare le regole per un elenco di controllo di accesso e modificarne l'ordine. Il valore SUBNET REMOTA è un intervallo di indirizzi IP per il traffico in ingresso da Internet usato dal servizio di bilanciamento del carico di Azure per autorizzare o rifiutare il traffico in base all'indirizzo IP di origine. Assicurarsi di specificare l'intervallo di indirizzi IP nel formato CIDR (Classless Inter-Domain Routing), noto anche come formato di prefisso di indirizzo. Ad esempio: 10.1.0.0/8.

È possibile usare regole per consentire solo il traffico da computer specifici corrispondenti ai computer su Internet oppure rifiutare il traffico da intervalli di indirizzi specifici e noti.

Le regole sono valutate nell'ordine, dalla prima fino all'ultima. Le regole, quindi, devono essere ordinate dalla meno restrittiva alla più restrittiva. Per altre informazioni, vedere Che cos'è un elenco di controllo di accesso di rete?

Passaggi successivi

• Per usare un cmdlet di Azure PowerShell per impostare un endpoint di VM, vedere Add-AzureEndpoint.
• Per usare un cmdlet di Azure PowerShell per gestire un ACL in un endpoint, vedere Come gestire gli elenchi di controllo di accesso per gli endpoint tramite PowerShell.
• Se una macchina virtuale è stata creata nel modello di distribuzione Resource Manager, è possibile usare Azure PowerShell per creare gruppi di sicurezza di rete per controllare il traffico verso la VM.