Netwerkinstellingen voor virtuele Azure-machines configureren

  • 5 minuten

We hebben onze aangepaste software geïnstalleerd, een FTP-server ingesteld en de virtuele machine geconfigureerd om onze videobestanden te ontvangen. Als we echter proberen verbinding te maken met ons openbare IP-adres met FTP, zullen we merken dat het is geblokkeerd.

Het aanbrengen van aanpassingen aan de serverconfiguratie wordt meestal uitgevoerd met apparatuur in uw on-premises omgeving. Op deze manier kunt u azure-VM's beschouwen als een uitbreiding van die omgeving. U kunt configuratiewijzigingen aanbrengen, netwerken beheren, verkeer openen of blokkeren, en meer via Azure Portal, Azure CLI of Azure PowerShell-hulpprogramma's.

U hebt al enkele van de basisopties voor informatie en beheer in het overzicht deelvenster voor de virtuele machine gezien. Laten we eens kijken naar de netwerkconfiguratie.

Poorten openen in Azure-VM's

Standaard worden nieuwe VM's vergrendeld.

Apps kunnen uitgaande aanvragen indienen, maar het enige binnenkomende verkeer dat is toegestaan, is afkomstig van het virtuele netwerk (bijvoorbeeld andere resources in hetzelfde lokale netwerk) en van de Load Balancer van Azure (testcontroles).

Er zijn twee stappen voor het aanpassen van de configuratie ter ondersteuning van FTP. Wanneer u een nieuwe VIRTUELE machine maakt, hebt u de mogelijkheid om een aantal algemene poorten (RDP, HTTP, HTTPS en SSH) te openen. Als u echter andere wijzigingen in de firewall nodig hebt, moet u deze zelf aanbrengen.

Het proces hiervoor bestaat uit twee stappen:

  1. Maak een netwerkbeveiligingsgroep.
  2. Maak een regel voor inkomend verkeer op poort 20 en 21 voor actieve FTP-ondersteuning.

Wat is een netwerkbeveiligingsgroep?

Virtuele netwerken (VNets) vormen de basis van het Azure-netwerkmodel en bieden isolatie en beveiliging. Netwerkbeveiligingsgroepen (NSG's) zijn het belangrijkste hulpprogramma dat u gebruikt om netwerkverkeersregels af te dwingen en te beheren op netwerkniveau. NSG's zijn een optionele beveiligingslaag die een softwarefirewall biedt door inkomend en uitgaand verkeer op het VNet te filteren.

Beveiligingsgroepen kunnen worden gekoppeld aan een netwerkinterface (voor regels per host), een subnet in het virtuele netwerk (om toe te passen op meerdere resources) of beide niveaus.

Beveiligingsgroepsregels

NSG's gebruiken regels om verkeer dat via het netwerk wordt verplaatst, toe te staan of te weigeren. Elke regel identificeert het bron- en doeladres (of bereik), protocol, poort (of bereik), richting (inkomend of uitgaand), een numerieke prioriteit en of het verkeer dat overeenkomt met de regel, toestaat of weigert. In de volgende afbeelding ziet u NSG-regels die zijn toegepast op subnet- en netwerkinterfaceniveaus.

Afbeelding van NSG's in twee verschillende subnetten. Eén subnet heeft twee VM's met een set regels die van toepassing zijn op zowel VM's als unieke regels voor elke NIC.

Elke beveiligingsgroep heeft een set standaardbeveiligingsregels om de standaardnetwerkregels toe te passen die in de voorgaande passage worden beschreven. U kunt deze standaardregels niet wijzigen, maar u deze overschrijven.

Hoe Azure gebruikmaakt van netwerkregels

Voor binnenkomend verkeer verwerkt Azure de beveiligingsgroep die is gekoppeld aan het subnet en vervolgens de beveiligingsgroep die is toegepast op de netwerkinterface. Uitgaand verkeer wordt in omgekeerde volgorde verwerkt (eerst de netwerkinterface, gevolgd door het subnet).

Waarschuwing

Houd er rekening mee dat beveiligingsgroepen op beide niveaus optioneel zijn. Als er geen beveiligingsgroep wordt toegepast, wordt al het verkeer door Azure toegestaan. Als de VIRTUELE machine een openbaar IP-adres heeft, kan dit een ernstig risico zijn, met name als het besturingssysteem geen firewall biedt.

De regels worden geëvalueerd in volgorde van prioriteit, te beginnen met de laagste prioriteit regel. Regels voor weigeren stoppen altijd de evaluatie. Als een uitgaande aanvraag bijvoorbeeld wordt geblokkeerd door een netwerkinterfaceregel, worden alle regels die op het subnet worden toegepast, niet gecontroleerd. Opdat verkeer wordt toegestaan door de beveiligingsgroep, moet het alle van toepassing zijnde groepen passeren.

De laatste regel is altijd een Alles weigeren regel. Dit is een standaardregel die wordt toegevoegd aan elke beveiligingsgroep voor zowel inkomend als uitgaand verkeer met een prioriteit van 65500. Dit betekent dat verkeer door de beveiligingsgroep moet worden doorgegeven, u een regel voor toestaan moet hebben of de laatste standaardregel deze blokkeert. Meer informatie over beveiligingsregels.

Notitie

SMTP (poort 25) is een speciaal geval. Afhankelijk van uw abonnementsniveau en wanneer uw account is gemaakt, kan uitgaand SMTP-verkeer worden geblokkeerd. U kunt een verzoek indienen om deze beperking met zakelijke redenen te verwijderen.