Come aprire le porte in una macchina virtuale con il portale di Azure

Aprire una porta o creare un endpoint in una macchina virtuale (VM) di Azure tramite la creazione di un filtro di rete su una subnet o un'interfaccia di rete di VM. Questi filtri, che consentono di controllare il traffico in ingresso e in uscita, vengono inseriti in un gruppo di sicurezza di rete e collegati alla risorsa che riceve il traffico.

Si userà un esempio comune di traffico Web sulla porta 80. Dopo aver ottenuto una VM configurata per rispondere alle richieste Web sulla porta TCP 80 standard, ricordando anche di avviare i servizi e aprire tutte le regole del firewall del sistema operativo nella VM, si procederà a:

  1. Creare un gruppo di sicurezza di rete.
  2. Creare una regola in ingresso che consenta il traffico con:
    • intervallo di porte di destinazione impostato su "80"
    • intervallo di porte di origine "*", che consente qualsiasi porta di origine
    • valore di priorità minore di 65.500, per ottenere una priorità più alta rispetto al valore predefinito della regola in ingresso di accesso negato di tipo catch-all
  3. Associare il gruppo di sicurezza di rete con l'interfaccia di rete della VM o con la subnet

È possibile creare configurazioni di rete complesse per proteggere l'ambiente usando i gruppi di sicurezza di rete e le regole. L'esempio usa solo una o due regole che consentono il traffico HTTP o la gestione remota. Per altre informazioni, vedere la sezione "Altre informazioni" seguente o Informazioni sui gruppi di sicurezza di rete.

Comandi rapidi

È possibile eseguire questi passaggi anche tramite Azure PowerShell.

Come prima operazione, creare il gruppo di sicurezza di rete. Selezionare un gruppo di risorse nel portale, fare clic su Aggiungi, quindi cercare e selezionare "Gruppo di sicurezza di rete":

Aggiungere un gruppo di sicurezza di rete

Immettere un nome per il gruppo di sicurezza di rete e selezionare o creare un gruppo di risorse, quindi selezionare una posizione. Al termine, fare clic su Crea:

Creare un gruppo di sicurezza di rete

Selezionare il nuovo gruppo di sicurezza di rete. Selezionare "Regole di sicurezza in ingresso", quindi fare clic sul pulsante Aggiungi per creare una regola:

Aggiungere una regola in entrata

Fornire un nome per la regola. La porta 80 è già inserita per impostazione predefinita. Questo pannello consente di modificare l'origine, il protocollo e la destinazione durante l'aggiunta di altre regole al gruppo di sicurezza di rete. Fare clic su OK per creare la regola:

Creare una regola in entrata

Il passaggio finale consiste nell'associare il gruppo di sicurezza di rete con una subnet o un'interfaccia di rete specifica. Per associare il gruppo di sicurezza di rete a una subnet. Selezionare "Subnet", quindi fare clic su Associa:

Associare un gruppo di sicurezza di rete con una subnet

Selezionare la rete virtuale, quindi selezionare la subnet appropriata:

Associare un gruppo di sicurezza di rete con una rete virtuale

È stato creato un gruppo di sicurezza di rete, è stata creata una regola in entrata che consente il traffico sulla porta 80 ed è stata associata a una subnet. Tutte le VM che si connettono a questa subnet sono raggiungibili sulla porta 80.

Altre informazioni sui gruppi di sicurezza di rete

I comandi rapidi seguenti consentono di rendere operativo il traffico verso la VM. I gruppi di sicurezza di rete offrono numerose funzionalità efficienti e la necessaria granularità per controllare l'accesso alle risorse. Per altre informazioni, leggere l'articolo sulla creazione di un gruppo di sicurezza di rete e di regole dell'elenco di controllo di accesso qui.

È possibile definire le regole dell'elenco di controllo di accesso e i gruppi di sicurezza di rete come parte dei modelli di Azure Resource Manager. Per altre informazioni, leggere l'articolo Come creare NSG utilizzando un modello.

Se si deve usare il port forwarding per eseguire il mapping di una sola porta esterna verso una porta interna della VM, usare un servizio di bilanciamento del carico e le regole Network Address Translation (NAT). Ad esempio, si desidera esporre la porta TCP 8080 esternamente e che il traffico venga indirizzato sulla porta TCP 80 in una VM. Per altre informazioni, leggere l'articolo relativo alla creazione di un servizio di bilanciamento del carico per Internet.

Passaggi successivi

In questo esempio viene creata una regola semplice per consentire il traffico HTTP. È possibile trovare informazioni sulla creazione di ambienti più dettagliati negli articoli seguenti: