Konfigurowanie sieciowej grupy zabezpieczeń dla systemów plików Azure Managed Lustre
Sieciowe grupy zabezpieczeń można skonfigurować do filtrowania przychodzącego i wychodzącego ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń może zawierać reguły zabezpieczeń, które filtruje ruch sieciowy według adresu IP, portu i protokołu. Gdy sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, reguły zabezpieczeń są stosowane do zasobów wdrożonych w tej podsieci.
W tym artykule opisano sposób konfigurowania reguł sieciowej grupy zabezpieczeń w celu zabezpieczenia dostępu do klastra systemu plików Azure Managed Lustre w ramach strategii Zero Trust.
Wymagania wstępne
- Subskrypcja platformy Azure. Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
- Sieć wirtualna z podsiecią skonfigurowaną do obsługi systemu plików Azure Managed Lustre. Aby dowiedzieć się więcej, zobacz Wymagania wstępne dotyczące sieci.
- System plików Azure Managed Lustre wdrożony w ramach subskrypcji platformy Azure. Aby dowiedzieć się więcej, zobacz Tworzenie zarządzanego systemu plików Lustre platformy Azure.
Tworzenie i konfigurowanie sieciowej grupy zabezpieczeń
Sieciowa grupa zabezpieczeń platformy Azure umożliwia filtrowanie ruchu sieciowego między zasobami platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na lub blokują przychodzący ruch sieciowy lub wychodzący ruch sieciowy dla kilku typów zasobów platformy Azure. Dla każdej reguły można określić źródło i obiekt docelowy, port i protokół.
Aby utworzyć sieciową grupę zabezpieczeń w Azure Portal, wykonaj następujące kroki:
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Wybierz pozycję + Utwórz.
Na stronie Tworzenie sieciowej grupy zabezpieczeń na karcie Podstawy wprowadź lub wybierz następujące wartości:
Ustawienie Akcja Szczegóły projektu Subskrypcja Wybierz swoją subskrypcję platformy Azure. Grupa zasobów Wybierz istniejącą grupę zasobów lub utwórz nową, wybierając pozycję Utwórz nową. W tym przykładzie użyto grupy zasobów sample-rg . Szczegóły wystąpienia Nazwa sieciowej grupy zabezpieczeń Wprowadź nazwę sieciowej grupy zabezpieczeń, którą tworzysz. Region (Region) Wybierz żądany region. Wybierz pozycję Przejrzyj i utwórz.
Po wyświetleniu komunikatu Weryfikacja przekazana wybierz pozycję Utwórz.
Kojarzenie sieciowej grupy zabezpieczeń z podsiecią
Po utworzeniu sieciowej grupy zabezpieczeń można ją skojarzyć z unikatową podsiecią w sieci wirtualnej, w której istnieje system plików Azure Managed Lustre. Aby skojarzyć sieciową grupę zabezpieczeń z podsiecią przy użyciu Azure Portal, wykonaj następujące kroki:
W polu wyszukiwania w górnej części portalu wprowadź pozycję Sieciowa grupa zabezpieczeń i wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Wybierz nazwę sieciowej grupy zabezpieczeń, a następnie wybierz pozycję Podsieci.
Aby skojarzyć sieciową grupę zabezpieczeń z podsiecią, wybierz pozycję + Skojarz, a następnie wybierz sieć wirtualną i podsieć, z którą chcesz skojarzyć sieciową grupę zabezpieczeń. Wybierz przycisk OK.
Konfigurowanie reguł sieciowej grupy zabezpieczeń
Aby skonfigurować reguły sieciowej grupy zabezpieczeń dla obsługi systemu plików Azure Managed Lustre, można dodać reguły zabezpieczeń ruchu przychodzącego i wychodzącego do sieciowej grupy zabezpieczeń skojarzonej z podsiecią, w której wdrożono system plików Azure Managed Lustre. W poniższych sekcjach opisano sposób tworzenia i konfigurowania reguł zabezpieczeń dla ruchu przychodzącego i wychodzącego, które umożliwiają obsługę systemu plików Azure Managed Lustre.
Uwaga
Reguły zabezpieczeń przedstawione w tej sekcji są konfigurowane na podstawie wdrożenia testowego systemu plików Lustre zarządzanego platformy Azure w regionie Wschodnie stany USA z włączoną integracją z usługą Blob Storage. Należy dostosować reguły na podstawie regionu wdrożenia, adresu IP podsieci sieci wirtualnej i innych ustawień konfiguracji systemu plików Azure Managed Lustre.
Tworzenie reguł zabezpieczeń dla ruchu przychodzącego
Reguły zabezpieczeń dla ruchu przychodzącego można utworzyć w Azure Portal. W poniższym przykładzie pokazano, jak utworzyć i skonfigurować nową regułę zabezpieczeń dla ruchu przychodzącego:
- W Azure Portal otwórz zasób sieciowej grupy zabezpieczeń utworzony w poprzednim kroku.
- Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego w obszarze Ustawienia.
- Wybierz pozycję + Dodaj.
- W okienku Dodawanie reguły zabezpieczeń dla ruchu przychodzącego skonfiguruj ustawienia reguły i wybierz pozycję Dodaj.
Dodaj następujące reguły ruchu przychodzącego do sieciowej grupy zabezpieczeń:
Priorytet | Nazwa | Port | Protokół | Element źródłowy | Element docelowy | Akcja | Opis |
---|---|---|---|---|---|---|---|
110 | nazwa reguły | Dowolne | Dowolne | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | Zezwalaj | Zezwalaj na przepływy protokołu lub portu między hostami w podsieci systemu plików Azure Managed Lustre. |
111 | nazwa reguły | 988 | TCP | Zakres adresów IP/CIDR dla podsieci klienta Lustre | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | Zezwalaj | Zezwalaj na komunikację między podsiecią klienta Lustre a podsiecią systemu plików Azure Managed Lustre. Zezwala tylko na źródłowe porty TCP 1020-1023 i port docelowy 988. |
112 | nazwa reguły | Dowolne | TCP | AzureMonitor |
VirtualNetwork |
Zezwalaj | Zezwalaj na przepływy przychodzące z tagu usługi AzureMonitor. Zezwalaj tylko na port źródłowy TCP 443. |
120 | nazwa reguły | Dowolne | Dowolne | Dowolne | Dowolne | Zablokuj | Odmów wszystkim innym przepływom przychodzącym. |
Reguły zabezpieczeń dla ruchu przychodzącego w Azure Portal powinny wyglądać podobnie do poniższego zrzutu ekranu. Należy dostosować adres IP podsieci/zakres CIDR i inne ustawienia na podstawie wdrożenia:
Tworzenie reguł zabezpieczeń dla ruchu wychodzącego
Reguły zabezpieczeń dla ruchu wychodzącego można utworzyć w Azure Portal. W poniższym przykładzie pokazano, jak utworzyć i skonfigurować nową regułę zabezpieczeń dla ruchu wychodzącego:
- W Azure Portal otwórz zasób sieciowej grupy zabezpieczeń utworzony we wcześniejszym kroku.
- W obszarze Ustawienia wybierz pozycję Reguły zabezpieczeń dla ruchu wychodzącego.
- Wybierz pozycję + Dodaj.
- W okienku Dodawanie reguły zabezpieczeń dla ruchu wychodzącego skonfiguruj ustawienia reguły i wybierz pozycję Dodaj.
Dodaj następujące reguły ruchu wychodzącego do sieciowej grupy zabezpieczeń:
Priorytet | Nazwa | Port | Protokół | Element źródłowy | Element docelowy | Akcja | Opis |
---|---|---|---|---|---|---|---|
100 | nazwa reguły | 443 | TCP | VirtualNetwork |
AzureMonitor |
Zezwalaj | Zezwalaj na przepływy wychodzące do tagu AzureMonitor usługi. Tylko port docelowy TCP 443. |
101 | nazwa reguły | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Zezwalaj | Zezwalaj na przepływy wychodzące do tagu AzureKeyVault.EastUS usługi. Tylko port docelowy TCP 443. |
102 | nazwa reguły | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Zezwalaj | Zezwalaj na przepływy wychodzące do tagu AzureActiveDirectory usługi. Tylko port docelowy TCP 443. |
103 | nazwa reguły | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Zezwalaj | Zezwalaj na przepływy wychodzące do tagu Storage.EastUS usługi. Tylko port docelowy TCP 443. |
104 | nazwa reguły | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Zezwalaj | Zezwala na przepływy wychodzące do tagu GuestAndHybridManagement usługi. Tylko port docelowy TCP 443. |
105 | nazwa reguły | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Zezwalaj | Zezwalaj na przepływy wychodzące do tagu ApiManagement.EastUS usługi. Tylko port docelowy TCP 443. |
106 | nazwa reguły | 443 | TCP | VirtualNetwork |
AzureDataLake |
Zezwalaj | Zezwalaj na przepływy wychodzące do tagu AzureDataLake usługi. Tylko port docelowy TCP 443. |
107 | nazwa reguły | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Zezwalaj | Zezwala na przepływy wychodzące do tagu AzureResourceManager usługi. Tylko port docelowy TCP 443. |
108 | nazwa reguły | 1020-1023 | TCP | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | Zakres adresów IP/CIDR dla podsieci klienta Lustre | Zezwalaj | Zezwalaj na przepływy wychodzące dla systemu plików Azure Managed Lustre do klienta Lustre. Port źródłowy TCP 988, tylko porty docelowe 1020–1023. |
109 | nazwa reguły | 123 | UDP | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | 168.61.215.74/32 | Zezwalaj | Zezwalaj na przepływy wychodzące do serwera MS NTP (168.61.215.74). Tylko port docelowy UDP 123. |
110 | nazwa reguły | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Zezwalaj | Zezwalaj na przepływy wychodzące do danych telemetrycznych azure Managed Lustre (20.45.120.0/21). Tylko port docelowy TCP 443. |
111 | nazwa reguły | Dowolne | Dowolne | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | Zakres adresów IP/CIDR dla podsieci systemu plików Azure Managed Lustre | Zezwalaj | Zezwalaj na przepływy protokołu lub portu między hostami w podsieci systemu plików Azure Managed Lustre. |
1000 | nazwa reguły | Dowolne | Dowolne | VirtualNetwork |
Internet |
Zablokuj | Odmów przepływów wychodzących do Internetu. |
1010 | nazwa reguły | Dowolne | Dowolne | Dowolne | Dowolne | Zablokuj | Odmów wszystkich innych przepływów wychodzących. |
Reguły zabezpieczeń ruchu wychodzącego w Azure Portal powinny wyglądać podobnie do poniższego zrzutu ekranu. Należy dostosować adres IP podsieci/zakres CIDR i inne ustawienia na podstawie wdrożenia:
Następne kroki
Aby dowiedzieć się więcej o usłudze Azure Managed Lustre, zobacz następujące artykuły:
Aby dowiedzieć się więcej na temat sieciowych grup zabezpieczeń platformy Azure, zobacz następujące artykuły:
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla