Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Nätverkssäkerhetsgrupper kan konfigureras för att filtrera inkommande och utgående nätverkstrafik till och från Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp kan innehålla säkerhetsregler som filtrerar nätverkstrafik efter IP-adress, port och protokoll. När en nätverkssäkerhetsgrupp är associerad med ett undernät tillämpas säkerhetsregler på resurser som distribueras i det undernätet.
Den här artikeln beskriver hur du konfigurerar regler för nätverkssäkerhetsgrupper för att skydda åtkomsten till ett Azure Managed Lustre-filsystemkluster som en del av en Nolltillit strategi.
Förutsättningar
- En Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.
- Ett virtuellt nätverk med ett undernät som har konfigurerats för att tillåta stöd för Azure Managed Lustre-filsystem. Mer information finns i Krav för nätverk.
- Ett Azure Managed Lustre-filsystem som distribuerats i din Azure-prenumeration. Mer information finns i Skapa ett Azure Managed Lustre-filsystem.
Skapa och konfigurera en nätverkssäkerhetsgrupp
Du kan använda en Azure-nätverkssäkerhetsgrupp för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till, eller utgående nätverkstrafik från, flera typer av Azure-resurser. För varje regel kan du ange källa och mål, port och protokoll.
Följ dessa steg för att skapa en nätverkssäkerhetsgrupp i Azure Portal:
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp. Välj Nätverkssäkerhetsgrupper i sökresultaten.
Välj + Skapa.
På sidan Skapa nätverkssäkerhetsgrupp går du till fliken Grundläggande inställningar och anger eller väljer följande värden:
Inställning Åtgärd Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj en befintlig resursgrupp eller skapa en ny genom att välja Skapa ny. I det här exemplet används resursgruppen sample-rg . Instansinformation Namn på nätverkssäkerhetsgrupp Ange ett namn för den nätverkssäkerhetsgrupp som du skapar. Region Välj önskad region. 
Välj Granska + skapa.
När du har fått meddelandet Validering har skickats väljer du Skapa.
Associera nätverkssäkerhetsgruppen med ett undernät
När nätverkssäkerhetsgruppen har skapats kan du associera den med det unika undernätet i ditt virtuella nätverk där Azure Managed Lustre-filsystemet finns. Följ dessa steg om du vill associera nätverkssäkerhetsgruppen med ett undernät med hjälp av Azure Portal:
I sökrutan överst i portalen anger du Nätverkssäkerhetsgrupp och väljer Nätverkssäkerhetsgrupper i sökresultaten.
Välj namnet på nätverkssäkerhetsgruppen och välj sedan Undernät.
Om du vill associera en nätverkssäkerhetsgrupp med undernätet väljer du + Associera och sedan ditt virtuella nätverk och det undernät som du vill associera nätverkssäkerhetsgruppen med. Välj OK.
Konfigurera regler för nätverkssäkerhetsgrupp
Det är viktigt att följa de minsta angivna riktlinjerna när du konfigurerar nätverkssäkerhetsgruppen. Korrekt konfiguration av nätverkssäkerhetsgrupper gör att Azure Managed Lustre kan använda viktiga tjänster som Lustre-protokollet, teknisk support och diagnostikstöd, Azure Blob Storage och säkerhetsövervakning. Om du inaktiverar någon av dessa viktiga tjänster kan det leda till en försämrad produkt- och supportupplevelse.
Om du vill konfigurera regler för nätverkssäkerhetsgrupp för Stöd för Azure Managed Lustre-filsystem lägger du till regler för inkommande och utgående säkerhet i nätverkssäkerhetsgruppen som är associerad med Azure Managed Lustre-undernätet. I följande avsnitt beskrivs hur du skapar och konfigurerar de inkommande och utgående säkerhetsreglerna som tillåter stöd för Azure Managed Lustre-filsystem.
Kommentar
Säkerhetsreglerna som visas i det här avsnittet konfigureras baserat på en Testdistribution av Azure Managed Lustre-filsystem i regionen USA, östra, med Blob Storage-integrering aktiverat. Du måste justera reglerna baserat på distributionsregionen, IP-adressen för det virtuella nätverkets undernät och andra konfigurationsinställningar för Azure Managed Lustre-filsystemet.
Skapa regler för inkommande säkerhet
Du kan skapa inkommande säkerhetsregler i Azure Portal. I följande exempel visas hur du skapar och konfigurerar en ny inkommande säkerhetsregel:
- I Azure Portal öppnar du resursen för nätverkssäkerhetsgruppen som du skapade i föregående steg.
- Välj Inkommande säkerhetsregler under Inställningar.
- Markera + Lägg till.
- I fönstret Lägg till inkommande säkerhetsregel konfigurerar du inställningarna för regeln och väljer Lägg till.
Lägg till följande regler för inkommande trafik i nätverkssäkerhetsgruppen. En beskrivning av alla Azure-tjänsttaggar finns i Översikt över Azure-tjänsttaggar.
| Prioritet | Name | Hamnar | Protokoll | Källa | Mål | Åtgärd | beskrivning |
|---|---|---|---|---|---|---|---|
| 110 | rule-name | Valfri | Valfri | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | Tillåt | Tillåt trafikflöde mellan Azure Managed Lustre-värdar för filsystemaktiviteter. Systemet kräver också TCP-port 22 (SSH) för inledande distribution och konfiguration. |
| 111 | rule-name | 988, 1019-1023 | TCP | IP-adress/CIDR-intervall för Lustre-klientundernät | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | Tillåt | Tillåt att dina Lustre-klienter interagerar med alla Azure Managed Lustre-lagringsnoder för filsystemaktiviteter. Filsystemprotokollet Lustre kräver portarna 988 och 1019-1023. |
| 112 | rule-name | Valfri | TCP | AzureMonitor |
VirtualNetwork |
Tillåt | Tillåt att AzureMonitor-tjänsten identifierar hälso- eller säkerhetsproblem med Azure Managed Lustre-tjänstvärdarna. |
| 120 | rule-name | Valfri | Valfri | Valfri | Valfri | Neka | Neka alla andra inkommande flöden. |
De inkommande säkerhetsreglerna i Azure Portal bör se ut ungefär som följande skärmbild. Skärmbilden visas som ett exempel. i tabellen finns en fullständig lista över regler. Du bör justera undernätets IP-adress/CIDR-intervall och andra inställningar baserat på distributionen:
Skapa utgående säkerhetsregler
Du kan skapa utgående säkerhetsregler i Azure Portal. I följande exempel visas hur du skapar och konfigurerar en ny utgående säkerhetsregel:
- I Azure Portal öppnar du resursen för nätverkssäkerhetsgruppen som du skapade i ett tidigare steg.
- Under Inställningar väljer du Utgående säkerhetsregler.
- Markera + Lägg till.
- I fönstret Lägg till utgående säkerhetsregel konfigurerar du inställningarna för regeln och väljer Lägg till.
Lägg till följande utgående regler och nätverkstjänsttaggar i nätverkssäkerhetsgruppen. En beskrivning av alla Azure-tjänsttaggar finns i Översikt över Azure-tjänsttaggar.
| Prioritet | Name | Hamnar | Protokoll | Källa | Mål | Åtgärd | beskrivning |
|---|---|---|---|---|---|---|---|
| 100 | rule-name | 443 | TCP | VirtualNetwork |
AzureMonitor |
Tillåt | Tillåt att AzureMonitor-tjänsten rapporterar hälso- eller säkerhetsproblem som diagnostiserats med Azure Managed Lustre-tjänstvärdarna. |
| 101 | rule-name | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Tillåt | Tillåt åtkomst till AzureKeyVault, som tjänsten använder för att lagra viktiga säkerhetshemligheter som behövs för grundläggande drift och lagringsåtkomst. |
| 102 | rule-name | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Tillåt | Tillåt åtkomst till AzureActiveDirectory som krävs för den säkra Entra ID-tjänsten som används under distributions- och supportaktiviteter. |
| 103 | rule-name | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Tillåt | Tillåt åtkomst till lagringskontoslutpunkter som krävs för Lustre HSM, systemhälsosignaler och andra kommunikationsflöden till Azure Managed Lustre-resursprovidern. |
| 104 | rule-name | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Tillåt | Tillåt åtkomst till GuestAndHybridManagement så att tjänsten kan använda Azure Log Analytics för arbetsflöden för support. |
| 105 | rule-name | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Tillåt | Tillåt åtkomst till ApiManagement för säkerhet och prestanda för Azure Managed Lustre interaktioner med andra tjänster. |
| 106 | rule-name | 443 | TCP | VirtualNetwork |
AzureDataLake |
Tillåt | Tillåt åtkomst till AzureDataLake så att säkerhets- och hälsotjänster som körs på Azure Managed Lustre-plattformen kan logga viktig information för plattformssupport. |
| 107 | rule-name | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Tillåt | Tillåt åtkomst till Azure Resource Manager, som tjänsten kräver för distribution och underhåll av sina interna resurser. |
| 108 | rule-name | 988, 1019-1023 | TCP | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | IP-adress/CIDR-intervall för Lustre-klientundernät | Tillåt | Tillåt de viktigaste portarna för korrekt Lustre-protokollåtgärd mellan lagringsservrarna och de virtuella Datorerna för Lustre-klienten. |
| 109 | rule-name | 123 | UDP | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | 168.61.215.74/32 | Tillåt | Tillåt åtkomst till MS NTP-servern för tidssynkronisering av Lustre-lagringsservrarna och de virtuella klientdatorerna. |
| 110 | rule-name | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Tillåt | Låt Azure Managed Lustre ladda upp telemetri till sin telemetritjänst, vilket är viktigt för att Azure-teknik ska kunna tillhandahålla produktsupport. |
| 111 | rule-name | Valfri | Valfri | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | IP-adress/CIDR-intervall för Azure Managed Lustre-filsystemundernät | Tillåt | Tillåt att Azure Managed Lustre-servrar kommunicerar med varandra i undernätet. Obs! Systemet använder port 22 (SSH) under den inledande distributionen och konfigurationen. |
| 112 | rule-name | 443 | TCP | VirtualNetwork |
EventHub |
Tillåt | Tillåt åtkomst till EventHub så att säkerhets- och övervakningstjänster som körs på Azure Managed Lustre-plattformen kan lagra systemhändelser i realtid. |
| 1000 | rule-name | Valfri | Valfri | VirtualNetwork |
Internet |
Neka | Neka utgående flöden till Internet. |
| 1010 | rule-name | Valfri | Valfri | Valfri | Valfri | Neka | Neka alla andra utgående flöden. |
De utgående säkerhetsreglerna i Azure Portal bör se ut ungefär som följande skärmbild. Skärmbilden visas som ett exempel. i tabellen finns en fullständig lista över regler. Du bör justera undernätets IP-adress/CIDR-intervall och andra inställningar baserat på distributionen:
Nästa steg
Mer information om Azure Managed Lustre finns i följande artiklar:
Mer information om Azure-nätverkssäkerhetsgrupper finns i följande artiklar: