Netwerkbeveiligingsgroepen met Azure Site Recovery

Netwerkbeveiligingsgroepen worden gebruikt om netwerkverkeer te beperken tot resources in een virtueel netwerk. Een netwerkbeveiligingsgroep (NSG) bevat een lijst met beveiligingsregels die binnenkomend of uitgaand netwerkverkeer toestaan of weigeren op basis van bron- of doel-IP-adres, poort en protocol.

Onder het Resource Manager-implementatiemodel kunnen NSG's worden gekoppeld aan subnetten of afzonderlijke netwerkinterfaces. Wanneer een NSG is gekoppeld aan een subnet, zijn de regels van toepassing op alle resources die zijn verbonden met het subnet. Verkeer kan verder worden beperkt door ook een NSG te koppelen aan afzonderlijke netwerkinterfaces binnen een subnet dat al een gekoppelde NSG heeft.

In dit artikel wordt beschreven hoe u netwerkbeveiligingsgroepen kunt gebruiken met Azure Site Recovery.

Netwerkbeveiligingsgroepen gebruiken

Een afzonderlijk subnet kan nul of één gekoppelde NSG hebben. Een afzonderlijke netwerkinterface kan ook nul of één gekoppelde NSG hebben. U kunt dus effectief dubbele verkeersbeperking voor een virtuele machine hebben door eerst een NSG te koppelen aan een subnet en vervolgens een andere NSG aan de netwerkinterface van de VM. De toepassing van NSG-regels in dit geval is afhankelijk van de richting van het verkeer en de prioriteit van toegepaste beveiligingsregels.

Bekijk een eenvoudig voorbeeld met één virtuele machine als volgt:

  • De virtuele machine wordt in het Contoso-subnet geplaatst.
  • Contoso-subnet is gekoppeld aan subnet-NSG.
  • De VM-netwerkinterface is bovendien gekoppeld aan VM NSG.

NSG met Site Recovery

In dit voorbeeld wordt voor binnenkomend verkeer eerst de subnet-NSG geëvalueerd. Verkeer dat via subnet-NSG is toegestaan, wordt vervolgens geëvalueerd door vm-NSG. Het omgekeerde is van toepassing op uitgaand verkeer, waarbij vm-NSG eerst wordt geëvalueerd. Verkeer dat is toegestaan via VM NSG wordt vervolgens geëvalueerd door subnet-NSG.

Dit maakt een gedetailleerde toepassing van beveiligingsregels mogelijk. U wilt bijvoorbeeld binnenkomende internettoegang toestaan voor enkele toepassings-VM's (zoals front-end-VM's) onder een subnet, maar binnenkomende internettoegang beperken tot andere VM's (zoals database- en andere back-end-VM's). In dit geval kunt u een soepelere regel hebben voor de subnet-NSG, waardoor internetverkeer wordt toegestaan en de toegang tot specifieke VM's wordt beperkt door de toegang op VM NSG te weigeren. Hetzelfde kan worden toegepast op uitgaand verkeer.

Wanneer u dergelijke NSG-configuraties instelt, moet u ervoor zorgen dat de juiste prioriteiten worden toegepast op de beveiligingsregels. Regels worden verwerkt in volgorde van prioriteit, waarbij lagere getallen worden verwerkt vóór hogere getallen omdat lagere getallen een hogere prioriteit hebben. Zodra het verkeer overeenkomt met een regel, wordt de verwerking beëindigd. Daardoor worden regels met een lagere prioriteit (een hoger getal) die dezelfde kenmerken hebben als regels met een hogere prioriteit, niet verwerkt.

U ben er mogelijk niet altijd van op de hoogte wanneer netwerkbeveiligingsgroepen worden toegepast op zowel een netwerkinterface als een subnet. U kunt de aggregatieregels controleren die zijn toegepast op een netwerkinterface door de effectieve beveiligingsregels voor een netwerkinterface weer te geven. U kunt ook de mogelijkheid ip-stroom controleren in Azure Network Watcher gebruiken om te bepalen of communicatie van of naar een netwerkinterface is toegestaan. Deze functie vertelt u of communicatie is toegestaan en welke netwerkbeveiligingsregel verkeer toestaat of weigert.

On-premises replicatie naar Azure met NSG

Azure Site Recovery maakt herstel na noodgevallen en migratie naar Azure mogelijk voor on-premises virtuele Hyper-V-machines, virtuele VMware-machines en fysieke servers. Voor alle on-premises naar Azure-scenario's worden replicatiegegevens verzonden naar en opgeslagen in een Azure Storage-account. Tijdens de replicatie betaalt u geen kosten voor virtuele machines. Wanneer u een failover naar Azure uitvoert, maakt Site Recovery automatisch virtuele Azure IaaS-machines.

Zodra vm's zijn gemaakt na een failover naar Azure, kunnen NSG's worden gebruikt om netwerkverkeer naar het virtuele netwerk en vm's te beperken. Site Recovery maakt geen NSG's als onderdeel van de failoverbewerking. We raden u aan de vereiste Azure NSG's te maken voordat u een failover start. Vervolgens kunt u NSG's automatisch koppelen aan failover-VM's tijdens failover, met behulp van automatiseringsscripts met de krachtige herstelplannen van Site Recovery.

Als de configuratie van de VM na de failover bijvoorbeeld vergelijkbaar is met het voorbeeldscenario dat hierboven wordt beschreven:

  • U kunt Contoso VNet en Contoso Subnet maken als onderdeel van dr-planning voor de Azure-doelregio.
  • U kunt ook zowel subnet-NSG's als VM-NSG's maken en configureren als onderdeel van dezelfde DR-planning.
  • Subnet-NSG kan vervolgens onmiddellijk worden gekoppeld aan Contoso Subnet, omdat zowel de NSG als het subnet al beschikbaar zijn.
  • Vm NSG kan worden gekoppeld aan VM's tijdens failover met behulp van herstelplannen.

Zodra de NSG's zijn gemaakt en geconfigureerd, raden we u aan een testfailover uit te voeren om gescripte NSG-koppelingen en de vm-connectiviteit na de failover te controleren.

Replicatie van Azure naar Azure met NSG

Azure Site Recovery maakt herstel na noodgevallen van virtuele Azure-machines mogelijk. Wanneer u replicatie inschakelt voor Azure-VM's, kunt Site Recovery de virtuele replicanetwerken (inclusief subnetten en gatewaysubnetten) in de doelregio maken en de vereiste toewijzingen maken tussen de virtuele bron- en doelnetwerken. U kunt ook vooraf de doelnetwerken en subnetten maken en deze gebruiken tijdens het inschakelen van replicatie. Site Recovery maakt geen VM's in de Azure-doelregio vóór de failover.

Zorg ervoor dat de NSG-regels in de Azure-bronregio uitgaande connectiviteit voor replicatieverkeer toestaan voor azure-VM-replicatie. U kunt deze vereiste regels ook testen en controleren via deze voorbeeld-NSG-configuratie.

Site Recovery maakt of repliceert geen NSG's als onderdeel van de failoverbewerking. We raden u aan de vereiste NSG's te maken in de Azure-doelregio voordat u failover start. Vervolgens kunt u NSG's automatisch koppelen aan failover-VM's tijdens failover, met behulp van automatiseringsscripts met de krachtige herstelplannen van Site Recovery.

Gezien het eerder beschreven voorbeeldscenario :

  • Site Recovery kunt replica's maken van Contoso VNet en Contoso Subnet in de Azure-doelregio wanneer replicatie is ingeschakeld voor de VM.
  • U kunt de gewenste replica's van subnet-NSG en VM-NSG (bijvoorbeeld doelsubnet-NSG en doel-VM-NSG) maken in de Azure-doelregio, zodat er aanvullende regels zijn vereist voor de doelregio.
  • Doelsubnet-NSG kan vervolgens onmiddellijk worden gekoppeld aan het subnet van de doelregio, omdat zowel de NSG als het subnet al beschikbaar zijn.
  • NSG van doel-VM's kan worden gekoppeld aan VM's tijdens een failover met behulp van herstelplannen.

Zodra de NSG's zijn gemaakt en geconfigureerd, raden we u aan een testfailover uit te voeren om gescripte NSG-koppelingen en de vm-connectiviteit na de failover te controleren.

Volgende stappen