Группы безопасности сетиNetwork security groups

Группу безопасности сети Azure можно использовать для фильтрации сетевого трафика в ресурсах Azure и из них в виртуальной сети Azure.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. Группа безопасности сети содержит правила безопасности , разрешающие или запрещающие входящий сетевой трафик, или исходящий сетевой трафик из нескольких типов ресурсов Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Для каждого правила можно указать источник и назначение, порт и протокол.For each rule, you can specify source and destination, port, and protocol.

В этой статье описываются свойства правила группы безопасности сети, применяемые по умолчанию правила безопасности и свойства правил, которые можно изменить для создания расширенного правила безопасности.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

Правила безопасностиSecurity rules

Группа безопасности сети может не содержать правила или содержать любое их число в пределах ограничений подписки Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. В каждом правиле указываются следующие свойства:Each rule specifies the following properties:

СвойствоProperty ПояснениеExplanation
ИмяName Уникальное имя в пределах группы безопасности сети.A unique name within the network security group.
ПриоритетPriority Значение в диапазоне от 100 до 4096.A number between 100 and 4096. Правила обрабатываются в порядке приоритета. Числа обрабатываются по возрастанию, так как меньшие числа имеют более высокий приоритет.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Если показатель трафика соответствует установленному в правиле, обработка останавливается.Once traffic matches a rule, processing stops. В результате все правила с более низким приоритетом (большие числа) и тем же атрибутом,что и правила с высоким приоритетом, не обрабатываются.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Источник или назначениеSource or destination Любой или конкретный IP-адрес, блок бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24), тег службы или группа безопасности приложений.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. При указании адреса ресурса Azure необходимо указать частный IP-адрес, назначенный ресурсу.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Группы безопасности сети обрабатываются после того, как Azure преобразует общедоступный IP-адрес в частный для входящего трафика, и до того, как Azure преобразует частный IP-адрес в общедоступный для исходящего трафика.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. Возможность указывать несколько отдельных IP-адресов и диапазонов (нельзя указать несколько тегов служб или групп приложений) в правиле называется расширенными правилами безопасности.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Нельзя одновременно задать несколько IP-адресов и их диапазонов в группах безопасности сети, созданных с помощью классической модели развертывания.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ПротоколProtocol TCP, UDP, ICMP или любой.TCP, UDP, ICMP or Any.
НаправлениеDirection Определяет тип трафика (входящий или исходящий), к которому применяется правило.Whether the rule applies to inbound, or outbound traffic.
Диапазон портовPort range Можно задать отдельный порт или их диапазон.You can specify an individual or range of ports. Например, вы можете указать 80 или 10000–10005.For example, you could specify 80 or 10000-10005. Если указать диапазон, можно создавать меньше правил безопасности.Specifying ranges enables you to create fewer security rules. Расширенные правила безопасности можно создавать только в группах безопасности сети, развернутых с помощью модели Resource Manager.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Нельзя задать несколько портов или их диапазонов в одном и том же правиле безопасности в группах безопасности сети, созданных с помощью классической модели развертывания.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ДействиеAction Разрешить или запретить доступAllow or deny

Правила безопасности групп безопасности сети оцениваются по приоритету и на основе кортежей из 5 элементов (источник, порт источника, назначение, порт назначения и протокол), чтобы разрешить или запретить трафик.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Запись потока создается для имеющихся подключений.A flow record is created for existing connections. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока.Communication is allowed or denied based on the connection state of the flow record. С помощью записи потока можно отслеживать состояние группы безопасности сети.The flow record allows a network security group to be stateful. Если вы задаете правило безопасности для исходящего трафика по любому адресу, например, через порт 80, устанавливать правило безопасности входящего трафика для ответа на исходящий трафик не обязательно.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Если связь инициируется извне, достаточно задать правило безопасности для входящего трафика.You only need to specify an inbound security rule if communication is initiated externally. Обратное также верно.The opposite is also true. Если через порт разрешено поступление входящего трафика, задавать правило безопасности исходящего трафика для ответа на трафик через порт не требуется.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

Имеющиеся подключения могут не прерываться, когда вы удаляете правило безопасности, разрешавшее этот поток.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Поток трафика прерывается, когда подключения разрываются, то есть в течение нескольких минут трафик не передается в любом направлении.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Количество правил безопасности, которые можно создать в группе безопасности сети, ограничено.There are limits to the number of security rules you can create in a network security group. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

Правила безопасности по умолчаниюDefault security rules

Azure создает следующие правила по умолчанию в каждой создаваемой группе безопасности сети:Azure creates the following default rules in each network security group that you create:

ВходящиеInbound

AllowVNetInBoundAllowVNetInBound
ПриоритетPriority ИсточникSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 ЛюбойAny AllowAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
ПриоритетPriority ИсточникSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 ЛюбойAny AllowAllow
DenyAllInboundDenyAllInbound
ПриоритетPriority ИсточникSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 ЛюбойAny ЗапретDeny

ИсходящееOutbound

AllowVnetOutBoundAllowVnetOutBound
ПриоритетPriority ИсточникSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 ЛюбойAny AllowAllow
AllowInternetOutBoundAllowInternetOutBound
ПриоритетPriority ИсточникSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6500165001 0.0.0.0/00.0.0.0/0 0-655350-65535 ИнтернетInternet 0-655350-65535 ЛюбойAny AllowAllow
DenyAllOutBoundDenyAllOutBound
ПриоритетPriority ИсточникSource Исходные портыSource ports НазначениеDestination Конечные портыDestination ports ПротоколProtocol AccessAccess
6550065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 ЛюбойAny ЗапретDeny

В столбцах Источник и Место назначения значения VirtualNetwork, AzureLoadBalancer и Internet являются тегами служб, а не IP-адресами.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. В столбце Протокол включает TCP , UDP и ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. При создании правила можно указать TCP, UDP, ICMP или любой из них.When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 в столбцах Источник и Назначение представляет все адреса.0.0.0.0/0 in the Source and Destination columns represents all addresses. Такие клиенты, как портал Azure, Azure CLI или PowerShell, могут использовать для этого выражения * или ANY.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

Правила по умолчанию нельзя удалить, но их можно переопределить, создав правила с более высоким приоритетом.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Расширенные правила безопасностиAugmented security rules

Расширенные правила безопасности упрощают определение безопасности для виртуальных сетей, позволяя определять масштабные и комплексные политики безопасности сети с меньшим числом правил.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Несколько портов, несколько явных IP-адресов и диапазонов можно объединить в одном простом правиле безопасности.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Используйте расширенные правила в полях источника, назначения и порта для правила.Use augmented rules in the source, destination, and port fields of a rule. Чтобы упростить поддержку для определения правила безопасности, объедините расширенные правила безопасности с тегами служб или группами безопасности приложений.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Количество адресов, диапазонов и портов, которые можно указать в правиле, ограничено.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Дополнительные сведения см. в разделе Ограничения сети.For details, see Azure limits.

Теги службService tags

Тег службы представляет группу префиксов IP-адресов из определенной службы Azure.A service tag represents a group of IP address prefixes from a given Azure service. Это помогает снизить сложность частого обновления правил сетевой безопасности.It helps to minimize the complexity of frequent updates on network security rules.

Дополнительные сведения см. в статье теги служб Azure.For more information, see Azure service tags. Пример использования тега службы хранилища для ограничения доступа к сети см. в разделе Ограничение сетевого доступа к ресурсам PaaS.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

Группы безопасности приложенийApplication security groups

Группы безопасности приложений позволяют настроить сетевую безопасность как естественное расширение в структуре приложения. Это позволяет группировать виртуальные машины и определять политики безопасности сети на основе таких групп.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Вы можете повторно использовать политику безопасности в нужном масштабе без обслуживания явных IP-адресов вручную.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Дополнительные сведения см. в разделе группы безопасности приложений.To learn more, see Application security groups.

Оценка трафикаHow traffic is evaluated

В виртуальную сеть Azure можно развернуть ресурсы из нескольких служб Azure.You can deploy resources from several Azure services into an Azure virtual network. Полный список см. в разделе Службы, которые можно развернуть в виртуальной сети.For a complete list, see Services that can be deployed into a virtual network. Вы можете связать не более одной группы безопасности сети с каждой подсетью виртуальной сети и сетевым интерфейсом на виртуальной машине.You can associate zero, or one, network security group to each virtual network subnet and network interface in a virtual machine. Одну и ту же группу безопасности сети можно связать с любым выбранным количеством подсетей или сетевых интерфейсов.The same network security group can be associated to as many subnets and network interfaces as you choose.

На следующем рисунке показаны различные сценарии развертывания групп безопасности сети для разрешения трафика, поступающего из Интернета и обратно через TCP-порт 80:The following picture illustrates different scenarios for how network security groups might be deployed to allow network traffic to and from the internet over TCP port 80:

NSG-processing

Чтобы понять, как Azure обрабатывает входящие и исходящие правила для групп безопасности сети, см. предыдущий рисунок, а также следующий текст.Reference the previous picture, along with the following text, to understand how Azure processes inbound and outbound rules for network security groups:

Входящий трафикInbound traffic

Для входящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с подсетью, если таковая имеется, а затем правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется.For inbound traffic, Azure processes the rules in a network security group associated to a subnet first, if there is one, and then the rules in a network security group associated to the network interface, if there is one.

  • VM1: обрабатываются правила безопасности в NSG1, так как она связана с Subnet1 и VM1 в Subnet1.VM1: The security rules in NSG1 are processed, since it is associated to Subnet1 and VM1 is in Subnet1. Если вы не создали правило, разрешающее входящий трафик через порт 80, трафик будет запрещен правилом безопасности по умолчанию DenyAllInbound и никогда не будет вычислен группой NSG2, так как NSG2 связана с сетевым интерфейсом.Unless you've created a rule that allows port 80 inbound, the traffic is denied by the DenyAllInbound default security rule, and never evaluated by NSG2, since NSG2 is associated to the network interface. Если в группе NSG1 есть правило безопасности, разрешающее трафик через порт 80, трафик будет обрабатываться группой NSG2.If NSG1 has a security rule that allows port 80, the traffic is then processed by NSG2. Чтобы разрешить трафик к виртуальной машине через порт 80, в NSG1 и NSG2 должно быть правило, разрешающее трафик из Интернета через порт 80.To allow port 80 to the virtual machine, both NSG1 and NSG2 must have a rule that allows port 80 from the internet.
  • VM2: обрабатываются правила в NSG1, потому что VM2 также существует в Subnet1.VM2: The rules in NSG1 are processed because VM2 is also in Subnet1. Так как у VM2 нет группы безопасности сети, связанной с ее сетевым интерфейсом, она получает весь трафик, разрешенный NSG1, или не получает трафик, запрещенный NSG1.Since VM2 does not have a network security group associated to its network interface, it receives all traffic allowed through NSG1 or is denied all traffic denied by NSG1. Если группа безопасности сети связана с подсетью, трафик разрешен или запрещен для всех ресурсов в одной и той же подсети.Traffic is either allowed or denied to all resources in the same subnet when a network security group is associated to a subnet.
  • VM3: так как с Subnet2 не связана ни одна группа безопасности сети, трафик разрешен в подсеть и обрабатывается NSG2, потому что NSG2 связана с сетевым интерфейсом, подключенным к VM3.VM3: Since there is no network security group associated to Subnet2, traffic is allowed into the subnet and processed by NSG2, because NSG2 is associated to the network interface attached to VM3.
  • VM4: трафик разрешен в VM4,, так как группа безопасности сети не связана с Subnet3 или сетевым интерфейсом в виртуальной машине.VM4: Traffic is allowed to VM4, because a network security group isn't associated to Subnet3, or the network interface in the virtual machine. Весь трафик пропускается через подсеть и сетевой интерфейс, если с ними не связана группа безопасности сети.All network traffic is allowed through a subnet and network interface if they don't have a network security group associated to them.

Исходящий трафикOutbound traffic

Для исходящего трафика Azure сначала обрабатывает правила в группе безопасности сети, связанной с сетевым интерфейсом, если таковой имеется, а затем правила в группе безопасности сети, связанной с подсетью, если таковая имеется.For outbound traffic, Azure processes the rules in a network security group associated to a network interface first, if there is one, and then the rules in a network security group associated to the subnet, if there is one.

  • VM1: обрабатываются правила безопасности в NSG2.VM1: The security rules in NSG2 are processed. Если вы не создали правило безопасности, которое запрещает исходящий трафик в Интернет через порт 80, трафик разрешается правилом безопасности по умолчанию AllowInternetOutbound в NSG1 и NSG2.Unless you create a security rule that denies port 80 outbound to the internet, the traffic is allowed by the AllowInternetOutbound default security rule in both NSG1 and NSG2. Если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещен и никогда не вычисляется NSG1.If NSG2 has a security rule that denies port 80, the traffic is denied, and never evaluated by NSG1. Чтобы запретить исходящий трафик через порт 80 на виртуальной машине, у одной из группы безопасности сети или у обеих должно быть правило, которое запрещает трафик, поступающий в Интернет через порт 80.To deny port 80 from the virtual machine, either, or both of the network security groups must have a rule that denies port 80 to the internet.
  • VM2: весь трафик отправляется через этот сетевой интерфейс к подсети, так как с сетевым интерфейсом, подключенным к VM2, не связана группа безопасности сети.VM2: All traffic is sent through the network interface to the subnet, since the network interface attached to VM2 does not have a network security group associated to it. Обрабатываются правила в NSG1.The rules in NSG1 are processed.
  • VM3: если в NSG2 есть правило безопасности, которое запрещает трафик через порт 80, трафик запрещается.VM3: If NSG2 has a security rule that denies port 80, the traffic is denied. Если в NSG2 есть правило безопасности, разрешающее трафик через порт 80, входящий трафик, поступающий в Интернет, разрешается через порт 80, так как группа безопасности сети не связана с Subnet2.If NSG2 has a security rule that allows port 80, then port 80 is allowed outbound to the internet, since a network security group is not associated to Subnet2.
  • VM4: весь трафик разрешен из VM4, так как группа безопасности сети не связана с сетевым интерфейсом, подключенным к виртуальной машине или к Subnet3.VM4: All network traffic is allowed from VM4, because a network security group isn't associated to the network interface attached to the virtual machine, or to Subnet3.

Трафик внутри подсетиIntra-Subnet traffic

Важно отметить, что правила безопасности в NSG, связанном с подсетью, могут повлиять на подключение между виртуальными машинами.It's important to note that security rules in an NSG associated to a subnet can affect connectivity between VM's within it. Например, если правило Добавлено в NSG1 , которое запрещает весь входящий и исходящий трафик, то VM1 и VM2 больше не смогут взаимодействовать друг с другом.For example, if a rule is added to NSG1 which denies all inbound and outbound traffic, VM1 and VM2 will no longer be able to communicate with each other. Чтобы разрешить это, необходимо добавить другое правило.Another rule would have to be added specifically to allow this.

Все правила, применяемые к сетевому интерфейсу, можно просмотреть в списке действующих правил безопасности сетевого интерфейса.You can easily view the aggregate rules applied to a network interface by viewing the effective security rules for a network interface. Кроме того, вы можете воспользоваться функцией Проверка IP-потока в службе "Наблюдатель за сетями Azure", чтобы определить, разрешен ли обмен данными с сетевым интерфейсом.You can also use the IP flow verify capability in Azure Network Watcher to determine whether communication is allowed to or from a network interface. Проверка IP-потока позволяет узнать, разрешен или запрещен обмен данными, а также правило безопасности сети, разрешающее или запрещающее трафик.IP flow verify tells you whether a communication is allowed or denied, and which network security rule allows or denies the traffic.

Примечание

Группы безопасности сети связаны с подсетями или с виртуальными машинами и облачными службами, развернутыми в классической модели развертывания, а также с подсетями или сетевыми интерфейсами в модели развертывания диспетчер ресурсов.Network security groups are associated to subnets or to virtual machines and cloud services deployed in the classic deployment model, and to subnets or network interfaces in the Resource Manager deployment model. Дополнительные сведения о моделях развертывания Azure см. в статье Развертывание с помощью Azure Resource Manager и классическое развертывание: сведения о моделях развертывания и состоянии ресурсов.To learn more about Azure deployment models, see Understand Azure deployment models.

Совет

Если у вас нет конкретной причины, рекомендуется связать группу безопасности сети с подсетью или сетевым интерфейсом, но не с обеими причинами.Unless you have a specific reason to, we recommend that you associate a network security group to a subnet, or a network interface, but not both. Так как правила в группе безопасности сети, связанной с подсетью, могут конфликтовать с правилами в группе безопасности сети, связанной с сетевым интерфейсом, могут возникнуть непредвиденные проблемы с обменом данными, требующие устранения неполадок.Since rules in a network security group associated to a subnet can conflict with rules in a network security group associated to a network interface, you can have unexpected communication problems that require troubleshooting.

Сведения о платформе AzureAzure platform considerations

  • Виртуальный IP-адрес узла узла: базовые службы инфраструктуры, такие как DHCP, DNS, IMDS и наблюдение за работоспособностью, предоставляются через ВИРТУАЛИЗИРОВАННЫЕ IP-адреса узлов 168.63.129.16 и 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Эти IP-адреса принадлежат корпорации Майкрософт. Они являются единственными виртуализированными IP-адресами, которые используются для этих целей во всех регионах.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Действующие правила безопасности и действующие маршруты не будут включать эти правила платформы.Effective security rules and effective routes will not include these platform rules. Чтобы переопределить эту базовую связь с инфраструктурой, можно создать правило безопасности для запрета трафика, используя следующие теги службы в правилах группы безопасности сети: Азуреплатформднс, Азуреплатформимдс, азуреплатформлкм.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Узнайте, как диагностировать фильтрацию сетевого трафика и диагностировать сетевую маршрутизацию.Learn how to diagnose network traffic filtering and diagnose network routing.

  • Лицензирование (служба управления ключами). Для используемых на виртуальных машинах образов Windows требуется лицензия.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Чтобы получить лицензию, на серверы узлов службы управления ключами отправляется соответствующий запрос.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. Для отправки запроса используется исходящий порт 1688.The request is made outbound through port 1688. Для развертываний, в которых используется конфигурация маршрута по умолчанию 0.0.0.0/0, это правило платформы будет отключено.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Виртуальные машины в пулах с балансировкой нагрузки. Применяемые исходный порт и диапазон адресов относятся к исходному компьютеру, а не подсистеме балансировки нагрузки.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. Конечный порт и диапазон адресов относятся к целевому компьютеру, а не подсистеме балансировки нагрузки.The destination port and address range are for the destination computer, not the load balancer.

  • Экземпляры служб Azure. В подсетях виртуальной сети развертываются экземпляры нескольких служб Azure, таких как HDInsight, среды службы приложений и масштабируемые наборы виртуальных машин.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Полный список служб, которые можно развернуть в виртуальной сети, см. в статье Интеграция виртуальной сети для служб Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Обязательно ознакомьтесь с требования к портам для каждой службы, прежде чем применять группу безопасности сети к подсети, в которой развернут ресурс.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Если запретить порты, которые требуются для службы, она будет работать неправильно.If you deny ports required by the service, the service doesn't function properly.

  • Отправка исходящих сообщений электронной почты. Корпорация Майкрософт рекомендует использовать аутентифицированные службы ретрансляции SMTP (обычно подключаются через TCP-порт 587, но часто через другие порты) для отправки электронной почты с виртуальных машин Azure.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Службы ретрансляции SMTP оптимизируют репутацию отправителя, чтобы минимизировать риск отклонения сообщений сторонними поставщиками почтовых служб.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Такие службы ретрансляции SMTP включают среди прочих Exchange Online Protection и SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. Использование служб ретрансляции SMTP никак не ограничено в Azure независимо от типа подписки.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Если вы создали подписку Azure до 15 ноября 2017 г., кроме возможности использовать службы ретрансляции SMTP, вы также можете отправлять электронную почту непосредственно через TCP-порт 25.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Если вы создали подписку Azure после 15 ноября 2017 г., вам может быть недоступна отправка электронной почты непосредственно через порт 25.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Поведение исходящего трафика через порт 25, зависит от типа вашей подписки, как показано ниже.The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Соглашение Enterprise — разрешен исходящий трафик через порт 25.Enterprise Agreement: Outbound port 25 communication is allowed. Вы можете отправлять исходящие сообщения непосредственно от виртуальных машин к внешним поставщикам электронной почты без ограничений на платформу Azure.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Оплата по мере использования. Передача исходящих данных через порт 25 заблокирована для всех ресурсов.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Если необходимо отправить электронное письмо с виртуальной машины непосредственно внешним поставщикам почтовых служб (без использования аутентифицированной ретрансляции SMTP), можно сделать запрос на снятие ограничения.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Запросы проверяет и одобряет только корпорация Майкрософт. Они утверждаются только после проверок для защиты от мошенничества.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Чтобы создать запрос, откройте обращение в службу поддержки с типом проблемы Техническая, Подключение к виртуальной сети, Не удается отправить сообщение электронной почты (SMTP/порт 25).To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). В обращении в службу поддержки объясните, зачем для вашей подписки требуется отправка электронной почты непосредственно поставщикам почтовых служб вместо отправки с помощью аутентифицированной службы ретрансляции SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Если для вашей подписки будет создано исключение из правила, только виртуальные машины, созданные после даты создания исключения, смогут передавать исходящие данные через порт 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Azure Pass, Azure с открытой лицензией, Education, BizSpark и бесплатная пробная версия. Передача исходящих данных через порт 25 заблокирована для всех ресурсов.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Запросы на снятие ограничения отправить невозможно.No requests to remove the restriction can be made, because requests are not granted. Если нужно отправить сообщение электронной почты с виртуальной машины, используйте службу ретрансляции SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Поставщик облачных служб. Клиенты, которые используют ресурсы Azure через поставщика облачных служб, могут обратиться к своему поставщику с просьбой разблокировки от своего имени, если безопасную ретрансляцию SMTP использовать нельзя.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Если Azure позволяет отправлять сообщения электронной почты через порт 25, корпорация Майкрософт не гарантирует, что поставщики электронной почты примут такие сообщения, отправленные с вашей виртуальной машины.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Если конкретный поставщик отклоняет почту, отправленную с вашей виртуальной машины, обратитесь к такому поставщику, чтобы решить проблемы, связанные с доставкой сообщений или фильтрацией нежелательной почты. Или используйте службу ретрансляции SMTP, прошедшую проверку подлинности.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Дальнейшие действияNext steps