Come aprire le porte in una macchina virtuale con il portale di Azure

Aprire una porta o creare un endpoint in una macchina virtuale (VM) di Azure tramite la creazione di un filtro di rete su una subnet o un'interfaccia di rete di VM. Questi filtri, che consentono di controllare il traffico in ingresso e in uscita, vengono inseriti in un gruppo di sicurezza di rete e collegati alla risorsa che riceve il traffico.

Si userà un esempio comune di traffico Web sulla porta 80. Dopo aver ottenuto una VM configurata per rispondere alle richieste Web sulla porta TCP 80 standard, ricordando anche di avviare i servizi e aprire tutte le regole del firewall del sistema operativo nella VM, si procederà a:

  1. Creare un gruppo di sicurezza di rete.
  2. Creare una regola in ingresso che consenta il traffico con:
    • intervallo di porte di destinazione impostato su "80"
    • intervallo di porte di origine "*", che consente qualsiasi porta di origine
    • valore di priorità minore di 65.500, per ottenere una priorità più alta rispetto al valore predefinito della regola in ingresso di accesso negato di tipo catch-all
  3. Associare il gruppo di sicurezza di rete con l'interfaccia di rete della VM o con la subnet

È possibile creare configurazioni di rete complesse per proteggere l'ambiente usando i gruppi di sicurezza di rete e le regole. L'esempio usa solo una o due regole che consentono il traffico HTTP o la gestione remota. Per altre informazioni, vedere la sezione "Altre informazioni" seguente o Informazioni sui gruppi di sicurezza di rete.

Comandi rapidi

È possibile eseguire questi passaggi anche tramite Azure PowerShell.

Come prima operazione, creare il gruppo di sicurezza di rete. Selezionare un gruppo di risorse nel portale, scegliere Aggiungi, quindi cercare e selezionare Gruppo di sicurezza di rete:

Aggiungere un gruppo di sicurezza di rete

Immettere un nome per il gruppo di sicurezza di rete e selezionare o creare un gruppo di risorse, quindi selezionare una posizione. Al termine selezionare Crea:

Creare un gruppo di sicurezza di rete

Selezionare il nuovo gruppo di sicurezza di rete. Selezionare "Regole di sicurezza in ingresso", quindi fare clic sul pulsante Aggiungi per creare una regola:

Aggiungere una regola in entrata

Scegliere un servizio comune dal menu a discesa, ad esempio HTTP. È possibile anche selezionare l'opzione Personalizzata per indicare una porta specifica da usare. Se si desidera, modificare la priorità o il nome. La priorità determina l'ordine in cui vengono applicate le regole: più basso è il valore numerico, prima viene applicata la regola. È possibile anche selezionare Avanzata nella parte superiore di questa schermata per immettere ad esempio uno specifico intervallo di porte o blocco IP di origine. Quando si è pronti, selezionare OK per creare la regola:

Creare una regola in entrata

Il passaggio finale consiste nell'associare il gruppo di sicurezza di rete con una subnet o un'interfaccia di rete specifica. Per associare il gruppo di sicurezza di rete a una subnet. Selezionare Subnet, quindi scegliere Associa:

Associare un gruppo di sicurezza di rete con una subnet

Selezionare la rete virtuale, quindi selezionare la subnet appropriata:

Associare un gruppo di sicurezza di rete con una rete virtuale

È stato creato un gruppo di sicurezza di rete, è stata creata una regola in entrata che consente il traffico sulla porta 80 ed è stata associata a una subnet. Tutte le VM che si connettono a questa subnet sono raggiungibili sulla porta 80.

Altre informazioni sui gruppi di sicurezza di rete

I comandi rapidi seguenti consentono di rendere operativo il traffico verso la VM. I gruppi di sicurezza di rete offrono numerose funzionalità efficienti e la necessaria granularità per controllare l'accesso alle risorse. Per altre informazioni, leggere l'articolo sulla creazione di un gruppo di sicurezza di rete e di regole dell'elenco di controllo di accesso qui.

Per le applicazioni Web a disponibilità elevata, è consigliabile inserire le macchine virtuali dietro a un Azure Load Balancer. Il bilanciamento del carico distribuisce il traffico alle macchine virtuali, con un gruppo di sicurezza di rete che consente di filtrare il traffico. Per altre informazioni, vedere Come bilanciare il carico per le macchine virtuali di Linux in Azure per creare un'applicazione a disponibilità elevata.

Passaggi successivi

In questo esempio viene creata una regola semplice per consentire il traffico HTTP. È possibile trovare informazioni sulla creazione di ambienti più dettagliati negli articoli seguenti: