Samouczek: tworzenie sieci wirtualnych platformy Azure i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure na maszynach wirtualnych z systemem LinuxTutorial: Create and manage Azure virtual networks for Linux virtual machines with the Azure CLI

Maszyny wirtualne platformy Azure korzystają z sieci platformy Azure do wewnętrznej i zewnętrznej komunikacji sieciowej.Azure virtual machines use Azure networking for internal and external network communication. Ten samouczek przedstawia proces wdrażania dwóch maszyn wirtualnych i konfigurowania dla nich sieci platformy Azure.This tutorial walks through deploying two virtual machines and configuring Azure networking for these VMs. W przykładach w tym samouczku założono, że maszyny wirtualne hostują aplikację internetową z zapleczem bazy danych, jednak wdrożenie aplikacji nie jest omówione w samouczku.The examples in this tutorial assume that the VMs are hosting a web application with a database back-end, however an application is not deployed in the tutorial. Ten samouczek zawiera informacje na temat wykonywania następujących czynności:In this tutorial, you learn how to:

  • Tworzenie sieci wirtualnej i podsieciCreate a virtual network and subnet
  • Tworzenie publicznego adresu IPCreate a public IP address
  • Tworzenie maszyny wirtualnej frontonuCreate a front-end VM
  • Zabezpieczanie ruchu sieciowegoSecure network traffic
  • Tworzenie maszyny wirtualnej zapleczaCreate a back-end VM

W tym samouczku jest używany interfejs wiersza polecenia w Azure Cloud Shell, który jest stale aktualizowany do najnowszej wersji.This tutorial uses the CLI within the Azure Cloud Shell, which is constantly updated to the latest version. Aby otworzyć Cloud Shell, wybierz opcję Wypróbuj z góry dowolnego bloku kodu.To open the Cloud Shell, select Try it from the top of any code block.

Jeśli zdecydujesz się zainstalować interfejs wiersza polecenia i korzystać z niego lokalnie, ten samouczek będzie wymagał interfejsu wiersza polecenia platformy Azure w wersji 2.0.30 lub nowszej.If you choose to install and use the CLI locally, this tutorial requires that you are running the Azure CLI version 2.0.30 or later. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana.Run az --version to find the version. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.If you need to install or upgrade, see Install Azure CLI.

Omówienie sieci maszyn wirtualnychVM networking overview

Sieci wirtualne platformy Azure umożliwiają nawiązywanie bezpiecznych połączeń sieciowych pomiędzy maszynami wirtualnymi, Internetem i innymi usługami platformy Azure, na przykład bazą danych Azure SQL Database.Azure virtual networks enable secure network connections between virtual machines, the internet, and other Azure services such as Azure SQL database. Sieci wirtualne są podzielone na logiczne segmenty nazywane podsieciami.Virtual networks are broken down into logical segments called subnets. Podsieci są używane do sterowania przepływem sieciowym oraz pełnią funkcję granicy zabezpieczeń.Subnets are used to control network flow, and as a security boundary. Wdrażana maszyna wirtualna zwykle zawiera wirtualny interfejs sieciowy dołączony do podsieci.When deploying a VM, it generally includes a virtual network interface, which is attached to a subnet.

Po ukończeniu samouczka zostaną utworzone następujące zasoby sieci wirtualnej:As you complete the tutorial, the following virtual network resources are created:

Sieć wirtualna z dwiema podsieciami

  • myVNet — sieć wirtualna, której maszyny wirtualne używają do komunikacji między sobą i z Internetem.myVNet - The virtual network that the VMs use to communicate with each other and the internet.
  • myFrontendSubnet — podsieć w sieci myVNet używana przez zasoby frontonu.myFrontendSubnet - The subnet in myVNet used by the front-end resources.
  • myPublicIPAddress — publiczny adres IP używany do uzyskania dostępu do maszyny myFrontendVM za pośrednictwem Internetu.myPublicIPAddress - The public IP address used to access myFrontendVM from the internet.
  • myFrontentNic — interfejs sieciowy używany przez maszynę wirtualną myFrontendVM do komunikacji z maszyną myBackendVM.myFrontentNic - The network interface used by myFrontendVM to communicate with myBackendVM.
  • myFrontendVM — maszyna wirtualna używana do komunikacji pomiędzy Internetem a maszyną myBackendVM.myFrontendVM - The VM used to communicate between the internet and myBackendVM.
  • myBackendNSG — sieciowa grupa zabezpieczeń, która kontroluje komunikację między maszyną myFrontendVM a maszyną myBackendVM.myBackendNSG - The network security group that controls communication between the myFrontendVM and myBackendVM.
  • myBackendSubnet — podsieć skojarzona z grupą myBackendNSG i używana przez zasoby zaplecza.myBackendSubnet - The subnet associated with myBackendNSG and used by the back-end resources.
  • myBackendNic — interfejs sieciowy używany przez maszynę wirtualną myBackendVM do komunikacji z maszyną myFrontendVM.myBackendNic - The network interface used by myBackendVM to communicate with myFrontendVM.
  • myBackendVM — maszyna wirtualna, która korzysta z portów 22 i 3306 do komunikacji z maszynąmyFrontendVM.myBackendVM - The VM that uses port 22 and 3306 to communicate with myFrontendVM.

Tworzenie sieci wirtualnej i podsieciCreate a virtual network and subnet

W tym samouczku zostanie utworzona jedna sieć wirtualna z dwoma podsieciami.For this tutorial, a single virtual network is created with two subnets. Zostanie utworzona podsieć frontonu do hostowania aplikacji internetowej oraz podsieć zaplecza do hostowania serwera bazy danych.A front-end subnet for hosting a web application, and a back-end subnet for hosting a database server.

Przed utworzeniem sieci wirtualnej należy utworzyć grupę zasobów za pomocą polecenia az group create.Before you can create a virtual network, create a resource group with az group create. Poniższy przykład obejmuje tworzenie grupy zasobów o nazwie myRGNetwork w lokalizacji eastus.The following example creates a resource group named myRGNetwork in the eastus location.

az group create --name myRGNetwork --location eastus

Tworzenie sieci wirtualnejCreate virtual network

Użyj polecenia az network vnet create, aby utworzyć sieć wirtualną.Use the az network vnet create command to create a virtual network. W tym przykładzie sieć nazywa się mvVNet, a jej prefiks adresu to 10.0.0.0/16.In this example, the network is named mvVNet and is given an address prefix of 10.0.0.0/16. Tworzona jest również podsieć o nazwie myFrontendSubnet z prefiksem 10.0.1.0/24.A subnet is also created with a name of myFrontendSubnet and a prefix of 10.0.1.0/24. W dalszej części tego samouczka maszyna wirtualna frontonu zostanie połączona z tą podsiecią.Later in this tutorial a front-end VM is connected to this subnet.

az network vnet create \
  --resource-group myRGNetwork \
  --name myVNet \
  --address-prefix 10.0.0.0/16 \
  --subnet-name myFrontendSubnet \
  --subnet-prefix 10.0.1.0/24

Tworzenie podsieciCreate subnet

Nowa podsieć jest dodawana do maszyny wirtualnej przy użyciu polecenia az network vnet subnet create.A new subnet is added to the virtual network using the az network vnet subnet create command. W tym przykładzie podsieć nazywa się myBackendSubnet, a jej prefiks adresu to 10.0.2.0/24.In this example, the subnet is named myBackendSubnet and is given an address prefix of 10.0.2.0/24. Ta podsieć jest używana ze wszystkimi usługami zaplecza.This subnet is used with all back-end services.

az network vnet subnet create \
  --resource-group myRGNetwork \
  --vnet-name myVNet \
  --name myBackendSubnet \
  --address-prefix 10.0.2.0/24

W ten sposób utworzono sieć i podzielono ją na dwie podsieci — jedną dla usług frontonu i jedną dla usług zaplecza.At this point, a network has been created and segmented into two subnets, one for front-end services, and another for back-end services. W kolejnej sekcji zostaną utworzone maszyny wirtualne połączone z tymi podsieciami.In the next section, virtual machines are created and connected to these subnets.

Tworzenie publicznego adresu IPCreate a public IP address

Publiczny adres IP umożliwia dostęp do zasobów platformy Azure w Internecie.A public IP address allows Azure resources to be accessible on the internet. Można skonfigurować dynamiczną lub statyczną alokację publicznego adresu IP.The allocation method of the public IP address can be configured as dynamic or static. Domyślnie publiczny adres IP jest przydzielany dynamicznie.By default, a public IP address is dynamically allocated. Dynamiczne adresy IP są zwalniane, gdy przydział maszyny wirtualnej zostaje cofnięty.Dynamic IP addresses are released when a VM is deallocated. Dlatego adres IP zmienia się podczas każdej operacji, która obejmuje cofnięcie przydziału maszyny wirtualnej.This behavior causes the IP address to change during any operation that includes a VM deallocation.

Można też ustawić statyczną metodę alokacji, co gwarantuje, że adres IP pozostanie przydzielony do maszyny wirtualnej nawet wówczas, gdy jej przydział zostanie cofnięty.The allocation method can be set to static, which ensures that the IP address remains assigned to a VM, even during a deallocated state. Podczas korzystania ze statycznie przydzielonych adresów IP nie można określić adresu IP.When using a statically allocated IP address, the IP address itself cannot be specified. Zamiast tego jest on przydzielany z puli dostępnych adresów.Instead, it is allocated from a pool of available addresses.

az network public-ip create --resource-group myRGNetwork --name myPublicIPAddress

Podczas tworzenia maszyny wirtualnej za pomocą polecenia az vm create domyślnie stosowana jest dynamiczna metoda alokacji publicznego adresu IP.When creating a VM with the az vm create command, the default public IP address allocation method is dynamic. Aby przypisać statyczny publiczny adres IP do maszyny wirtualnej, należy podczas tworzenia jej za pomocą polecenia az vm create dołączyć argument --public-ip-address-allocation static.When creating a virtual machine using the az vm create command, include the --public-ip-address-allocation static argument to assign a static public IP address. Ta operacja nie jest pokazana w samouczku, ale w kolejnej sekcji dynamicznie przypisany adres IP zostanie zmieniony na adres przypisany statycznie.This operation is not demonstrated in this tutorial, however in the next section a dynamically allocated IP address is changed to a statically allocated address.

Zmiana metody alokacjiChange allocation method

Metodę alokacji adresu IP można zmienić za pomocą polecenia az network public-ip update.The IP address allocation method can be changed using the az network public-ip update command. W tym przykładzie metoda alokacji adresu IP maszyny wirtualnej frontonu zostanie zmieniona na statyczną.In this example, the IP address allocation method of the front-end VM is changed to static.

Najpierw cofnij przydział maszyny wirtualnej.First, deallocate the VM.

az vm deallocate --resource-group myRGNetwork --name myFrontendVM

Użyj polecenia az network public-ip update, aby zaktualizować metodę alokacji.Use the az network public-ip update command to update the allocation method. W tym przypadku parametr --allocation-method zostanie zmieniony na static.In this case, the --allocation-method is being set to static.

az network public-ip update --resource-group myRGNetwork --name myPublicIPAddress --allocation-method static

Uruchom maszynę wirtualną.Start the VM.

az vm start --resource-group myRGNetwork --name myFrontendVM --no-wait

Brak publicznego adresu IPNo public IP address

Maszyna wirtualna często nie musi być dostępna przez Internet.Often, a VM does not need to be accessible over the internet. Aby utworzyć maszynę wirtualną bez publicznego adresu IP, należy użyć argumentu --public-ip-address "" z pustą parą podwójnych cudzysłowów.To create a VM without a public IP address, use the --public-ip-address "" argument with an empty set of double quotes. Ta konfiguracja jest przedstawiona w dalszej części tego samouczka.This configuration is demonstrated later in this tutorial.

Tworzenie maszyny wirtualnej frontonuCreate a front-end VM

Użyj polecenia az vm create, aby utworzyć maszynę wirtualną o nazwie myFrontendVM, korzystającą z adresu myPublicIPAddress.Use the az vm create command to create the VM named myFrontendVM using myPublicIPAddress.

az vm create \
  --resource-group myRGNetwork \
  --name myFrontendVM \
  --vnet-name myVNet \
  --subnet myFrontendSubnet \
  --nsg myFrontendNSG \
  --public-ip-address myPublicIPAddress \
  --image UbuntuLTS \
  --generate-ssh-keys

Zabezpieczanie ruchu sieciowegoSecure network traffic

Sieciowa grupa zabezpieczeń (NSG, network security group) zawiera listę reguł zabezpieczeń, które blokują lub zezwalają na ruch sieciowy do zasobów połączonych z usługami Azure Virtual Network (VNet).A network security group (NSG) contains a list of security rules that allow or deny network traffic to resources connected to Azure Virtual Networks (VNet). Sieciowe grupy zabezpieczeń można skojarzyć z podsieciami lub pojedynczymi interfejsami sieciowymi.NSGs can be associated to subnets or individual network interfaces. Jeśli sieciowa grupa zabezpieczeń jest skojarzona z interfejsem sieciowym, jest stosowana wyłącznie do powiązanej maszyny wirtualnej.When an NSG is associated with a network interface, it applies only the associated VM. Jeśli sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, te reguły są stosowane do wszystkich zasobów połączonych z tą podsiecią.When an NSG is associated to a subnet, the rules apply to all resources connected to the subnet.

Reguły sieciowych grup zabezpieczeńNetwork security group rules

Reguły sieciowych grup zabezpieczeń określają porty sieciowe, dla których ruch jest dozwolony lub niedozwolony.NSG rules define networking ports over which traffic is allowed or denied. Reguły mogą zawierać zakresy źródłowych lub docelowych adresów IP, umożliwiając kontrolę ruchu pomiędzy określonymi systemami lub podsieciami.The rules can include source and destination IP address ranges so that traffic is controlled between specific systems or subnets. Reguły sieciowych grup zabezpieczeń mają również priorytet (od 1 do 4096).NSG rules also include a priority (between 1—and 4096). Priorytet określa kolejność oceny reguł.Rules are evaluated in the order of priority. Reguła z priorytetem 100 jest oceniana przed regułą z priorytetem 200.A rule with a priority of 100 is evaluated before a rule with priority 200.

Wszystkie sieciowe grupy zabezpieczeń zawierają zestaw reguł domyślnych.All NSGs contain a set of default rules. Reguł domyślnych nie można usunąć, ale ponieważ mają przypisany najniższy priorytet, mogą być zastąpione przez tworzone zasady.The default rules cannot be deleted, but because they are assigned the lowest priority, they can be overridden by the rules that you create.

Domyślne reguły dla sieciowych grup zabezpieczeń to:The default rules for NSGs are:

  • Sieć wirtualna — ruch pochodzący z sieci wirtualnej i kończący się w niej jest dozwolony zarówno w kierunku przychodzącym, jak i wychodzącym.Virtual network - Traffic originating and ending in a virtual network is allowed both in inbound and outbound directions.
  • Internet — ruch wychodzący jest dozwolony, ale ruch przychodzący jest blokowany.Internet - Outbound traffic is allowed, but inbound traffic is blocked.
  • Moduł równoważenia obciążenia — umożliwia modułowi równoważenia obciążenia platformy Azure badanie kondycji maszyn wirtualnych i wystąpień ról.Load balancer - Allow Azure’s load balancer to probe the health of your VMs and role instances. Jeśli nie używasz zestawu z równoważeniem obciążenia, możesz przesłonić tę regułę.If you are not using a load balanced set, you can override this rule.

Tworzenie sieciowych grup zabezpieczeńCreate network security groups

Sieciową grupę zabezpieczeń można utworzyć podczas tworzenia maszyny wirtualnej przy użyciu polecenia az vm create.A network security group can be created at the same time as a VM using the az vm create command. W takim przypadku sieciowa grupa zabezpieczeń jest skojarzona z interfejsem sieciowym tej maszyny wirtualnej, z automatycznie utworzoną regułą zezwalającej na ruch z dowolnego źródła przez port 22.When doing so, the NSG is associated with the VMs network interface and an NSG rule is auto created to allow traffic on port 22 from any source. Wcześniej w tym samouczku sieciowa grupa zabezpieczeń frontonu została automatycznie utworzona wraz z maszyną wirtualną frontonu.Earlier in this tutorial, the front-end NSG was auto-created with the front-end VM. Została również automatycznie utworzona reguła sieciowej grupy zabezpieczeń dla portu 22.An NSG rule was also auto created for port 22.

W niektórych przypadkach pomocne może być wcześniejsze utworzenie sieciowej grupy zabezpieczeń, na przykład wtedy, gdy nie powinny być tworzone domyślne reguły protokołu SSH, lub jeśli sieciowa grupa zabezpieczeń ma być połączona z podsiecią.In some cases, it may be helpful to pre-create an NSG, such as when default SSH rules should not be created, or when the NSG should be attached to a subnet.

Użyj polecenia az network nsg create, aby utworzyć sieciową grupę zabezpieczeń.Use the az network nsg create command to create a network security group.

az network nsg create --resource-group myRGNetwork --name myBackendNSG

Sieciowa grupa zabezpieczeń nie zostanie skojarzona z interfejsem sieciowym, ale z podsiecią.Instead of associating the NSG to a network interface, it is associated with a subnet. W tej konfiguracji każda maszyna wirtualna połączona z podsiecią dziedziczy reguły sieciowej grupy zabezpieczeń.In this configuration, any VM that is attached to the subnet inherits the NSG rules.

Zaktualizuj istniejącą podsieć o nazwie myBackendSubnet, używając nowej sieciowej grupy zabezpieczeń.Update the existing subnet named myBackendSubnet with the new NSG.

az network vnet subnet update \
  --resource-group myRGNetwork \
  --vnet-name myVNet \
  --name myBackendSubnet \
  --network-security-group myBackendNSG

Zabezpieczanie ruchu przychodzącegoSecure incoming traffic

Podczas tworzenia maszyny wirtualnej frontonu utworzona została reguła sieciowej grupy zabezpieczeń, zezwalająca na ruch przychodzący na porcie 22.When the front-end VM was created, an NSG rule was created to allow incoming traffic on port 22. Ta reguła umożliwia nawiązywanie połączeń SSH z maszyną wirtualną.This rule allows SSH connections to the VM. W tym przykładzie ruch powinien być również dozwolony na porcie 80.For this example, traffic should also be allowed on port 80. Ta konfiguracja umożliwia uzyskanie dostępu do aplikacji internetowej na maszynie wirtualnej.This configuration allows a web application to be accessed on the VM.

Użyj polecenia az network nsg rule create, aby utworzyć regułę dla portu 80.Use the az network nsg rule create command to create a rule for port 80.

az network nsg rule create \
  --resource-group myRGNetwork \
  --nsg-name myFrontendNSG \
  --name http \
  --access allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 200 \
  --source-address-prefix "*" \
  --source-port-range "*" \
  --destination-address-prefix "*" \
  --destination-port-range 80

Maszyna wirtualna frontonu jest dostępna tylko na porcie 22 i porcie 80.The front-end VM is only accessible on port 22 and port 80. Pozostały ruch przychodzący jest blokowany w sieciowej grupie zabezpieczeń.All other incoming traffic is blocked at the network security group. Warto zwizualizować konfiguracje reguł sieciowej grupy zabezpieczeń.It may be helpful to visualize the NSG rule configurations. Polecenie az network rule list zwraca konfigurację reguł sieciowej grupy zabezpieczeń.Return the NSG rule configuration with the az network rule list command.

az network nsg rule list --resource-group myRGNetwork --nsg-name myFrontendNSG --output table

Zabezpieczanie ruchu między maszynami wirtualnymiSecure VM to VM traffic

Reguły sieciowych grup zabezpieczeń można także stosować pomiędzy maszynami wirtualnymi.Network security group rules can also apply between VMs. W tym przykładzie maszyna wirtualna frontonu musi połączyć się z maszyną wirtualną zaplecza na porcie 22 i 3306.For this example, the front-end VM needs to communicate with the back-end VM on port 22 and 3306. Ta konfiguracja umożliwia nawiązywanie połączeń SSH wychodzących z maszyny wirtualnej frontonu, a także umożliwia aplikacji na maszynie wirtualnej frontonu komunikację z bazą danych MySQL zaplecza.This configuration allows SSH connections from the front-end VM, and also allow an application on the front-end VM to communicate with a back-end MySQL database. Cały pozostały ruch pomiędzy maszynami wirtualnymi frontonu i zaplecza powinien zostać zablokowany.All other traffic should be blocked between the front-end and back-end virtual machines.

Użyj polecenia az network nsg rule create, aby utworzyć regułę dla portu 22.Use the az network nsg rule create command to create a rule for port 22. Zwróć uwagę, że argument --source-address-prefix ma wartość 10.0.1.0/24.Notice that the --source-address-prefix argument specifies a value of 10.0.1.0/24. Ta konfiguracja gwarantuje, że ruch z podsieci frontonu jest dozwolony wyłącznie za pośrednictwem sieciowej grupy zabezpieczeń.This configuration ensures that only traffic from the front-end subnet is allowed through the NSG.

az network nsg rule create \
  --resource-group myRGNetwork \
  --nsg-name myBackendNSG \
  --name SSH \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 100 \
  --source-address-prefix 10.0.1.0/24 \
  --source-port-range "*" \
  --destination-address-prefix "*" \
  --destination-port-range "22"

Teraz dodaj regułę dla ruchu bazy MySQL na porcie 3306.Now add a rule for MySQL traffic on port 3306.

az network nsg rule create \
  --resource-group myRGNetwork \
  --nsg-name myBackendNSG \
  --name MySQL \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 200 \
  --source-address-prefix 10.0.1.0/24 \
  --source-port-range "*" \
  --destination-address-prefix "*" \
  --destination-port-range "3306"

Ponieważ sieciowe grupy zabezpieczeń mają domyślną regułę zezwalającą na dowolny ruch pomiędzy maszynami wirtualnymi w tej samej sieci wirtualnej, można utworzyć regułę blokowania całego ruchu w sieciowych grupach zabezpieczeń zaplecza.Finally, because NSGs have a default rule allowing all traffic between VMs in the same VNet, a rule can be created for the back-end NSGs to block all traffic. Zwróć uwagę, że parametr --priority ma wartość 300, czyli niższą niż priorytet reguł sieciowej grupy zabezpieczeń i reguł bazy danych MySQL.Notice here that the --priority is given a value of 300, which is lower that both the NSG and MySQL rules. Ta konfiguracja gwarantuje, że ruch SSH i MySQL będzie nadal dozwolony w sieciowej grupie zabezpieczeń.This configuration ensures that SSH and MySQL traffic is still allowed through the NSG.

az network nsg rule create \
  --resource-group myRGNetwork \
  --nsg-name myBackendNSG \
  --name denyAll \
  --access Deny \
  --protocol Tcp \
  --direction Inbound \
  --priority 300 \
  --source-address-prefix "*" \
  --source-port-range "*" \
  --destination-address-prefix "*" \
  --destination-port-range "*"

Tworzenie maszyny wirtualnej zapleczaCreate back-end VM

Teraz należy utworzyć maszynę wirtualną połączoną z podsiecią myBackendSubnet.Now create a virtual machine, which is attached to the myBackendSubnet. Należy zwrócić uwagę, że wartość argumentu --nsg to pusta para cudzysłowów.Notice that the --nsg argument has a value of empty double quotes. Z tą maszyną wirtualną nie trzeba tworzyć sieciowej grupy zabezpieczeń.An NSG does not need to be created with the VM. Maszyna wirtualna jest połączona z podsiecią zaplecza, która jest chroniona za pomocą utworzonej wcześniej sieciowej grupy zabezpieczeń.The VM is attached to the back-end subnet, which is protected with the pre-created back-end NSG. Ta sieciowa grupa zabezpieczeń jest stosowana do maszyny wirtualnej.This NSG applies to the VM. Należy również zauważyć, że wartość argumentu --public-ip-address ma to pusta para cudzysłowów.Also, notice here that the --public-ip-address argument has a value of empty double quotes. Ta konfiguracja tworzy maszynę wirtualną bez publicznego adresu IP.This configuration creates a VM without a public IP address.

az vm create \
  --resource-group myRGNetwork \
  --name myBackendVM \
  --vnet-name myVNet \
  --subnet myBackendSubnet \
  --public-ip-address "" \
  --nsg "" \
  --image UbuntuLTS \
  --generate-ssh-keys

Maszyna wirtualna zaplecza jest dostępna dla podsieci frontonu tylko na porcie 22 i porcie 3306.The back-end VM is only accessible on port 22 and port 3306 from the front-end subnet. Pozostały ruch przychodzący jest blokowany w sieciowej grupie zabezpieczeń.All other incoming traffic is blocked at the network security group. Warto zwizualizować konfiguracje reguł sieciowej grupy zabezpieczeń.It may be helpful to visualize the NSG rule configurations. Polecenie az network rule list zwraca konfigurację reguł sieciowej grupy zabezpieczeń.Return the NSG rule configuration with the az network rule list command.

az network nsg rule list --resource-group myRGNetwork --nsg-name myBackendNSG --output table

Następne krokiNext steps

W tym samouczku utworzono i zabezpieczono sieci platformy Azure na potrzeby maszyn wirtualnych.In this tutorial, you created and secured Azure networks as related to virtual machines. W tym samouczku omówiono:You learned how to:

  • Tworzenie sieci wirtualnej i podsieciCreate a virtual network and subnet
  • Tworzenie publicznego adresu IPCreate a public IP address
  • Tworzenie maszyny wirtualnej frontonuCreate a front-end VM
  • Zabezpieczanie ruchu sieciowegoSecure network traffic
  • Tworzenie maszyny wirtualnej zapleczaCreate back-end VM

Przejdź do kolejnego samouczka, aby dowiedzieć się więcej na temat zabezpieczania danych na maszynach wirtualnych za pomocą usługi Azure Backup.Advance to the next tutorial to learn about securing data on virtual machines using Azure backup.