Grupos de Segurança de Rede com Azure Site RecoveryNetwork Security Groups with Azure Site Recovery

Os Grupos de Segurança de Rede são usados para limitar o tráfego de rede para recursos em uma rede virtual.Network Security Groups are used to limit network traffic to resources in a virtual network. Um Grupo de Segurança de Rede (NSG) contém uma lista de regras de segurança que permitem ou negam o tráfego de rede de entrada ou saída com base no endereço IP de origem ou destino, na porta e no protocolo.A Network Security Group (NSG) contains a list of security rules that allow or deny inbound or outbound network traffic based on source or destination IP address, port, and protocol.

No modelo de implantação do Gerenciador de Recursos, NSGs podem ser associados a sub-redes ou interfaces de rede individuais.Under the Resource Manager deployment model, NSGs can be associated to subnets or individual network interfaces. Quando um NSG está associado a uma sub-rede, as regras se aplicam a todos os recursos conectados à sub-rede.When an NSG is associated to a subnet, the rules apply to all resources connected to the subnet. O tráfego pode ser restrito associando um NSG a interfaces de rede individuais em uma sub-rede que já tem um NSG associado.Traffic can further be restricted by also associating an NSG to individual network interfaces within a subnet that already has an associated NSG.

Este artigo descreve como você pode usar Grupos de Segurança de Rede com o Azure Site Recovery.This article describes how you can use Network Security Groups with Azure Site Recovery.

Usando Grupos de Segurança de RedeUsing Network Security Groups

Uma sub-rede individual pode ter zero ou um NSG associado.An individual subnet can have zero, or one, associated NSG. Uma interface de rede individual pode ter zero ou um NSG associado.An individual network interface can also have zero, or one, associated NSG. Portanto, você pode efetivamente ter restrição de tráfego duplo para uma máquina virtual, associando um NSG primeiro a uma sub-rede e, em seguida, outra NSG à interface de rede da VM.So, you can effectively have dual traffic restriction for a virtual machine by associating an NSG first to a subnet, and then another NSG to the VM's network interface. A aplicação de regras de NSG depende nesse caso da direção do tráfego e da prioridade das regras de segurança aplicadas.The application of NSG rules in this case depends on the direction of traffic and priority of applied security rules.

Considere um exemplo simples com uma máquina virtual da seguinte forma:Consider a simple example with one virtual machine as follows:

  • A máquina virtual é colocada dentro da sub-rede Contoso.The virtual machine is placed inside the Contoso Subnet.
  • A sub-rede Contoso está associada ao NSG de sub-rede.Contoso Subnet is associated with Subnet NSG.
  • A interface de rede de VM é associada adicionalmente ao NSG de VM.The VM network interface is additionally associated with VM NSG.

NSG com Site Recovery

Neste exemplo, para tráfego de entrada, o NSG de sub-rede é avaliado primeiro.In this example, for inbound traffic, the Subnet NSG is evaluated first. Qualquer tráfego permitido por meio do NSG de sub-rede é avaliado pelo NSG de VM.Any traffic allowed through Subnet NSG is then evaluated by VM NSG. O inverso é aplicável para o tráfego de saída, com o NSG de VM sendo avaliado primeiro.The reverse is applicable for outbound traffic, with VM NSG being evaluated first. Qualquer tráfego permitido por meio do NSG de VM é avaliado pelo NSG de sub-rede.Any traffic allowed through VM NSG is then evaluated by Subnet NSG.

Isso permite a aplicação de regra de segurança granular.This allows for granular security rule application. Por exemplo, você talvez queira permitir o acesso de internet de entrada para algumas VMs de aplicativo (como VMs front-end) em uma sub-rede, mas restringir o acesso à internet de entrada para outras VMs (como banco de dados e outras VMs de back-end).For example, you might want to allow inbound internet access to a few application VMs (such as frontend VMs) under a subnet but restrict inbound internet access to other VMs (such as database and other backend VMs). Nesse caso, você pode ter uma regra mais branda no NSG de sub-rede, permitindo o tráfego de internet e restringir o acesso a VMs específicas por meio de negação do acesso no NSG de VM.In this case you can have a more lenient rule on the Subnet NSG, allowing internet traffic, and restrict access to specific VMs by denying access on VM NSG. O mesmo pode ser aplicado para o tráfego de saída.The same can be applied for outbound traffic.

Ao definir essas configurações de NSG, certifique-se de que as prioridades corretas sejam aplicadas para as regras de segurança.When setting up such NSG configurations, ensure that the correct priorities are applied to the security rules. As regras são processadas na ordem de prioridade, com números mais baixos processados antes de números mais altos, pois os números mais baixos têm prioridade mais alta.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Depois que o tráfego corresponde a uma regra, o processamento é interrompido.Once traffic matches a rule, processing stops. Assim, as regras existentes com baixa prioridade (números mais altos) que têm os mesmos atributos das regras com prioridades mais altas não são processadas.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.

Você pode não saber quando os grupos de segurança de rede são aplicados a um adaptador de rede e a uma sub-rede.You may not always be aware when network security groups are applied to both a network interface and a subnet. É possível verificar as regras de agregação aplicadas a uma interface de rede exibindo as regras de segurança efetiva para uma interface de rede.You can verify the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Você também pode usar a funcionalidade de verificação de fluxo de IP no observador de rede do Azure para determinar se a comunicação é permitida para ou a partir de um adaptador de rede.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. A ferramenta informa se a comunicação é permitida e qual regra de segurança de rede permite ou nega o tráfego.The tool tells you whether communication is allowed, and which network security rule allows or denies traffic.

Replicação no local para Azure com NSGOn-premises to Azure replication with NSG

O Azure Site Recovery permite a recuperação de desastres e migração para o Azure para o local máquinas virtuais Hyper-V, máquinas virtuais VMware, e servidores físicos.Azure Site Recovery enables disaster recovery and migration to Azure for on-premises Hyper-V virtual machines, VMware virtual machines, and physical servers. Para todos os locais para cenários do Azure, os dados de replicação são enviados e armazenados em uma conta de armazenamento do Azure.For all on-premises to Azure scenarios, replication data is sent to and stored in an Azure Storage account. Durante a replicação, não é necessário pagar todos os encargos de máquina virtual.During replication, you don't pay any virtual machine charges. Ao executar um failover no Azure, o Site Recovery cria automaticamente as máquinas virtuais da IaaS do Azure.When you run a failover to Azure, Site Recovery automatically creates Azure IaaS virtual machines.

Depois que as VMs tiverem sido criadas após o failover no Azure, os NSGs poderão ser usados para limitar o tráfego de rede à rede virtual e às VMs.Once VMs have been created after failover to Azure, NSGs can be used to limit network traffic to the virtual network and VMs. O Site Recovery não cria NSGs como parte da operação de failover.Site Recovery does not create NSGs as part of the failover operation. É recomendável criar os NSGs do Azure necessários antes de iniciar o failover.We recommend creating the required Azure NSGs before initiating failover. Em seguida, você pode associar o NSGs às VMs com failover automaticamente, usando scripts de automação com os planos de recuperaçãoavançados de site Recovery.You can then associate NSGs to failed over VMs automatically during failover, using automation scripts with Site Recovery's powerful recovery plans.

Por exemplo, se a configuração da VM após o failover for semelhante ao cenário de exemplo detalhado acima:For example, if the post-failover VM configuration is similar to the example scenario detailed above:

  • Você pode criar a Rede Virtual Contoso e a Sub-rede Contoso como parte do planejamento de DR na região do Azure de destino.You can create Contoso VNet and Contoso Subnet as part of DR planning on the target Azure region.
  • Você também pode criar e configurar o NSG de sub-rede, bem como o NSG de VM como parte do mesmo planejamento de DR.You can also create and configure both Subnet NSG as well as VM NSG as part the same DR planning.
  • O NSG de sub-rede pode ser imediatamente associado à Sub-rede Contoso, visto que o NSG e a sub-rede já estão disponíveis.Subnet NSG can then be immediately associated with Contoso Subnet, as both the NSG and the subnet are already available.
  • O NSG de VM pode ser associado a VMs durante o failover usando planos de recuperação.VM NSG can be associated with VMs during failover using recovery plans.

Depois que os NSGs forem criados e configurados, recomendamos executar um failover de teste para verificar as associações de NSG com script e conectividade VM após o failover.Once the NSGs are created and configured, we recommend running a test failover to verify scripted NSG associations and post-failover VM connectivity.

Replicação do Azure para o Azure com o NSGAzure to Azure replication with NSG

O Azure Site Recovery oferece recuperação deMáquinas Virtuais do Azure.Azure Site Recovery enables disaster recovery of Azure virtual machines. Ao habilitar a replicação para VMs do Azure, o Site Recovery pode criar as réplicas das redes virtuais (incluindo sub-redes e sub-redes de gateway) na região de destino, bem como criar os mapeamentos necessários entre as redes virtuais de origem e de destino.When enabling replication for Azure VMs, Site Recovery can create the replica virtual networks (including subnets and gateway subnets) on the target region and create the required mappings between the source and target virtual networks. Também é possível criar previamente as redes e as sub-redes do lado do destino e usá-las ao habilitar a replicação.You can also pre-create the target side networks and subnets, and use the same while enabling replication. O Site Recovery não cria todas as máquinas virtuais na região do Azure de destino antes do failover.Site Recovery does not create any VMs on the target Azure region prior to failover.

Para a replicação de VM do Azure, certifique-se de que as regras de NSG na região do Azure de origem permitam a conectividade de saída para o tráfego de replicação.For Azure VM replication, ensure that the NSG rules on the source Azure region allow outbound connectivity for replication traffic. Você também pode testar e verificar essas regras necessárias por meio desta configuração do NSG de exemplo.You can also test and verify these required rules through this example NSG configuration.

O Site Recovery não cria ou replica NSGs como parte da operação de failover.Site Recovery does not create or replicate NSGs as part of the failover operation. É recomendável criar os NSGs necessários na região de destino do Azure antes de iniciar o failover.We recommend creating the required NSGs on the target Azure region before initiating failover. Em seguida, você pode associar o NSGs às VMs com failover automaticamente, usando scripts de automação com os planos de recuperaçãoavançados de site Recovery.You can then associate NSGs to failed over VMs automatically during failover, using automation scripts with Site Recovery's powerful recovery plans.

Considerando o cenário de exemplo descrito anteriormente:Considering the example scenario described earlier:

  • O Site Recovery pode criar réplicas de Rede Virtual Contoso e Sub-rede Contoso na região do Azure de destino quando a replicação estiver habilitada para a VM.Site Recovery can create replicas of Contoso VNet and Contoso Subnet on the target Azure region when replication is enabled for the VM.
  • Você pode criar as réplicas desejadas de NSG de sub-rede e NSG de VM (denominadas, por exemplo, NSG de sub-rede de destino e NSG de VM de destino, respectivamente) na região do Azure de destino, permitindo quaisquer regras adicionais necessárias na região de destino.You can create the desired replicas of Subnet NSG and VM NSG (named, for example, Target Subnet NSG and Target VM NSG, respectively) on the target Azure region, allowing for any additional rules required on the target region.
  • O NSG de sub-rede de destino pode ser imediatamente associado à sub-rede da região de destino, visto que o NSG e a sub-rede já estão disponíveis.Target Subnet NSG can then be immediately associated with the target region subnet, as both the NSG and the subnet are already available.
  • O NSG de VM de destino pode ser associado a VMs durante o failover usando planos de recuperação.Target VM NSG can be associated with VMs during failover using recovery plans.

Depois que os NSGs forem criados e configurados, recomendamos executar um failover de teste para verificar as associações de NSG com script e conectividade VM após o failover.Once the NSGs are created and configured, we recommend running a test failover to verify scripted NSG associations and post-failover VM connectivity.

Próximas etapasNext steps