Oktatóanyag: Hálózati forgalom szűrése hálózati biztonsági csoporttal

A hálózati biztonsági csoportokkal szűrheti az Azure-beli virtuális hálózatok Azure-erőforrásaiba irányuló és onnan kimenő bejövő és kimenő hálózati forgalmat.

A hálózati biztonsági csoportok biztonsági szabályokat tartalmaznak, amelyek IP-cím, port és protokoll szerint szűrik a hálózati forgalmat. Ha egy hálózati biztonsági csoport alhálózathoz van társítva, a rendszer biztonsági szabályokat alkalmaz az adott alhálózatban üzembe helyezett erőforrásokra.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

• Hálózati biztonsági csoport és biztonsági szabályok létrehozása
• Alkalmazásbiztonsági csoportok létrehozása
• Virtuális hálózat létrehozása és hálózati biztonsági csoport hozzárendelése egy alhálózathoz
• Virtuális gépek üzembe helyezése és hálózati adapterek társítása az alkalmazásbiztonsági csoportokhoz

Előfeltételek

Portál

• Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.

PowerShell

• Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.

Azure Cloud Shell

Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. A Cloud Shell előre telepített parancsaival futtathatja a jelen cikkben szereplő kódot anélkül, hogy bármit telepítenie kellene a helyi környezetben.

Az Azure Cloud Shell indítása:

Lehetőség	Példa/hivatkozás
Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választása nem másolja automatikusan a kódot vagy a parancsot a Cloud Shellbe.
Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben.
Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra.

Az Azure Cloud Shell használata:

1. Indítsa el a Cloud Shellt.

2. A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).

3. Illessze be a kódot vagy parancsot a Cloud Shell-munkamenetbe a Windows és Linux rendszeren a Ctrl Shift+V billentyűkombinációval+, vagy a Cmd+Shift+V macOS rendszeren való kiválasztásával.

4. A kód vagy parancs futtatásához válassza az Enter lehetőséget .

Ha a PowerShell helyi telepítése és használata mellett dönt, ehhez a cikkhez az Azure PowerShell-modul 1.0.0-s vagy újabb verziójára van szükség. A telepített verzió azonosításához futtassa a következőt: Get-Module -ListAvailable Az. Ha frissíteni szeretne, olvassa el az Azure PowerShell-modul telepítését ismertető cikket. Ha helyileg futtatja a PowerShellt, az Azure-ral való kapcsolat létrehozásához is futnia Connect-AzAccount kell.

Parancssori felület

Ha nem rendelkezik Azure-előfizetéssel, első lépésként hozzon létre egy ingyenes Azure-fiókot.

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: A Bash rövid útmutatója az Azure Cloud Shellben.

  

• Ha inkább helyi cli-referenciaparancsokat szeretne futtatni, telepítse az Azure CLI-t. Ha Windows vagy macOS rendszert használ, fontolja meg az Azure CLI Docker-tárolóban való futtatását. További információ: Az Azure CLI futtatása Docker-tárolóban.

  • Ha helyi telepítést használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. A hitelesítési folyamat befejezéséhez kövesse a terminálon megjelenő lépéseket. További bejelentkezési lehetőségekért lásd : Bejelentkezés az Azure CLI-vel.

  • Amikor a rendszer kéri, először telepítse az Azure CLI-bővítményt. További információ a bővítményekről: Bővítmények használata az Azure CLI-vel.

  • Futtassa az az version parancsot a telepített verzió és a függő kódtárak megkereséséhez. A legújabb verzióra az az upgrade paranccsal frissíthet.

• Ez a cikk az Azure CLI 2.0.28-es vagy újabb verzióját igényli. Az Azure Cloud Shell használata esetén a legújabb verzió már telepítve van.

Portál

Az alábbi eljárás létrehoz egy virtuális hálózatot egy erőforrás-alhálózattal.

1. A portálon keresse meg és válassza ki a virtuális hálózatokat.

2. A Virtuális hálózatok lapon válassza a + Létrehozás lehetőséget.

3. A Virtuális hálózat létrehozása alapismeretek lapján adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza az Új létrehozása lehetőséget. Adja meg a test-rg nevet. Válassza az OK gombot.
   Példány részletei
   Név	Adja meg a vnet-1 értéket.
   Régió	Válassza az USA 2. keleti régiója lehetőséget.

   

4. A Tovább gombra kattintva lépjen a Biztonság lapra.

5. A Tovább gombra kattintva lépjen az IP-címek lapra.

6. Az Alhálózatok alatti címtérben válassza ki az alapértelmezett alhálózatot.

7. Az Alhálózat szerkesztése panelen adja meg vagy válassza ki a következő információkat:

   Beállítás	Érték
   Alhálózat részletei
   Alhálózati sablon	Hagyja meg az alapértelmezett értéket alapértelmezettként.
   Név	Adja meg az 1. alhálózatot.
   Kezdőcím	Hagyja meg a 10.0.0.0 alapértelmezett értékét.
   Alhálózat mérete	Hagyja meg a /24(256-címek) alapértelmezett értékét.

   

8. Válassza a Mentés lehetőséget.

9. Válassza a Véleményezés + létrehozás lehetőséget a képernyő alján. Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget.

PowerShell

Először hozzon létre egy erőforráscsoportot a cikkben létrehozott összes erőforráshoz a New-AzResourceGroup használatával. Az alábbi példa létrehoz egy erőforráscsoportot a westus2-helyen :

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}

New-AzResourceGroup @rg

Hozzon létre egy virtuális hálózatot a New-AzVirtualNetwork használatával. Az alábbi példa létrehoz egy vnet-1 nevű virtuális hálózatot:

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Hozzon létre egy alhálózat-konfigurációt a New-AzVirtualNetworkSubnetConfig használatával, majd írja be az alhálózat konfigurációját a virtuális hálózatba a Set-AzVirtualNetwork használatával. Az alábbi példa egy 1. alhálózat nevű alhálózatot ad hozzá a virtuális hálózathoz, és az nsg-1 hálózati biztonsági csoportot társítja hozzá:

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

Parancssori felület

Először hozzon létre egy erőforráscsoportot a cikkben létrehozott összes erőforráshoz az az group create használatával. Az alábbi példa létrehoz egy erőforráscsoportot a westus2-helyen :

az group create \
  --name test-rg \
  --location westus2

Hozzon létre egy virtuális hálózatot az az network vnet create paranccsal. Az alábbi példa létrehoz egy vnet-1 nevű virtuális hálózatot:

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefixes 10.0.0.0/16

Alhálózat hozzáadása virtuális hálózathoz az az network vnet subnet create használatával. Az alábbi példa egy 1. alhálózat nevű alhálózatot ad hozzá a virtuális hálózathoz, és az nsg-1 hálózati biztonsági csoportot társítja hozzá:

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24

Alkalmazásbiztonsági csoportok létrehozása

Az alkalmazásbiztonsági csoportok (ASG-k) lehetővé teszik, hogy hasonló függvényekkel, például webkiszolgálókkal csoportosítsa a kiszolgálókat.

Portál

1. A portál tetején található keresőmezőbe írja be az Alkalmazás biztonsági csoportját. Válassza ki az alkalmazásbiztonsági csoportokat a keresési eredmények között.

2. Válassza a +Létrehozás lehetőséget.

3. Az Alkalmazásbiztonsági csoport létrehozása alapismeretek lapján adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Név	Adja meg az asg-web parancsot.
   Régió	Válassza az USA 2. keleti régiója lehetőséget.

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a +Létrehozás lehetőséget.

6. Ismételje meg az előző lépéseket, és adja meg a következő értékeket:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Név	Adja meg az asg-mgmt értéket.
   Régió	Válassza az USA 2. keleti régiója lehetőséget.

7. Válassza az Áttekintés + létrehozás lehetőséget.

8. Válassza a Létrehozás lehetőséget.

PowerShell

Hozzon létre egy alkalmazásbiztonsági csoportot a New-AzApplicationSecurityGroup használatával. Az alkalmazásbiztonsági csoportok lehetővé teszik, hogy csoportokba rendezze a hasonló portszűrési követelményekkel rendelkező kiszolgálókat. Az alábbi példa két alkalmazásbiztonsági csoportot hoz létre.

$web = @{
    ResourceGroupName = "test-rg"
    Name = "asg-web"
    Location = "westus2"
}
$webAsg = New-AzApplicationSecurityGroup @web

$mgmt = @{
    ResourceGroupName = "test-rg"
    Name = "asg-mgmt"
    Location = "westus2"
}
$mgmtAsg = New-AzApplicationSecurityGroup @mgmt

Parancssori felület

Hozzon létre egy alkalmazásbiztonsági csoportot az az network asg create használatával. Az alkalmazásbiztonsági csoportok lehetővé teszik, hogy csoportokba rendezze a hasonló portszűrési követelményekkel rendelkező kiszolgálókat. Az alábbi példa két alkalmazásbiztonsági csoportot hoz létre.

az network asg create \
  --resource-group test-rg \
  --name asg-web \
  --location westus2

az network asg create \
  --resource-group test-rg \
  --name asg-mgmt \
  --location westus2

Hálózati biztonsági csoport létrehozása

Egy hálózati biztonsági csoport (NSG) biztosítja a virtuális hálózat hálózati forgalmát.

Portál

1. A portál tetején található keresőmezőbe írja be a Hálózati biztonsági csoportot. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.

   Feljegyzés

   A hálózati biztonsági csoportok keresési eredményei között megjelenhetnek a hálózati biztonsági csoportok (klasszikus) is. Válassza ki a hálózati biztonsági csoportokat.

2. Válassza a +Létrehozás lehetőséget.

3. A Hálózati biztonsági csoport létrehozása alapismeretek lapján adja meg vagy válassza ki az alábbi adatokat:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Név	Adja meg az nsg-1 értéket.
   Hely	Válassza az USA 2. keleti régiója lehetőséget.

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a Létrehozás lehetőséget.

PowerShell

Hozzon létre egy hálózati biztonsági csoportot a New-AzNetworkSecurityGroup használatával. Az alábbi példa egy nsg-1 nevű hálózati biztonsági csoportot hoz létre:

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

Parancssori felület

Hozzon létre egy hálózati biztonsági csoportot az network nsg create használatával. Az alábbi példa egy nsg-1 nevű hálózati biztonsági csoportot hoz létre:

# Create a network security group
az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Hálózati biztonsági csoport társítása alhálózathoz

Ebben a szakaszban a hálózati biztonsági csoportot a korábban létrehozott virtuális hálózat alhálózatához társítja.

Portál

1. A portál tetején található keresőmezőbe írja be a Hálózati biztonsági csoportot. Válassza ki a hálózati biztonsági csoportokat a keresési eredmények között.

2. Válassza az nsg-1 lehetőséget.

3. Válassza ki az alhálózatokat az nsg-1 Beállítások szakaszából.

4. Az Alhálózatok lapon válassza a + Társítás lehetőséget:

   

5. Az Alhálózat társítása területen válassza a virtuális hálózathoz tartozó vnet-1 (test-rg) elemet.

6. Válassza az alhálózat 1. alhálózatát, majd kattintson az OK gombra.

PowerShell

A Get-AzVirtualNetwork használatával kérje le a virtuális hálózati objektumot, majd a Set-AzVirtualNetworkSubnetConfig használatával társítsa a hálózati biztonsági csoportot az alhálózathoz. Az alábbi példa lekéri a virtuális hálózati objektumot, és frissíti az alhálózat konfigurációját a hálózati biztonsági csoport társításához:

# Retrieve the virtual network
$vnet = Get-AzVirtualNetwork -Name "vnet-1" -ResourceGroupName "test-rg"

# Update the subnet configuration to associate the network security group
$subnetConfigParams = @{
    VirtualNetwork = $vnet
    Name = "subnet-1"
    AddressPrefix = $vnet.Subnets[0].AddressPrefix
    NetworkSecurityGroup = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

# Update the virtual network with the new subnet configuration
$vnet | Set-AzVirtualNetwork

Parancssori felület

Az az network vnet subnet update használatával társítsa a hálózati biztonsági csoportot az alhálózathoz. Az alábbi példa az nsg-1 hálózati biztonsági csoportot társítja az 1 . alhálózathoz:

az network vnet subnet update \
  --resource-group test-rg \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --network-security-group nsg-1

Biztonsági szabályok létrehozása

Portál

1. Válassza ki a bejövő biztonsági szabályokat az nsg-1 Beállítások szakaszában.

2. A Bejövő biztonsági szabályok lapon válassza a + Hozzáadás lehetőséget.

3. Hozzon létre egy biztonsági szabályt, amely engedélyezi a 80-as és a 443-as portot az asg-webalkalmazás biztonsági csoportjának. A Bejövő biztonsági szabály hozzáadása lapon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Forrás	Hagyja meg az Any alapértelmezett értékét.
   Forrásporttartományok	Hagyja meg a (*) alapértelmezett értékét.
   Cél	Válassza az Alkalmazás biztonsági csoportját.
   Célalkalmazás biztonsági csoportjai	Válassza az asg-web lehetőséget.
   Szolgáltatás	Hagyja meg az Egyéni beállítás alapértelmezett értékét.
   Célporttartományok	Adja meg a 80 443 értéket.
   Protokoll	Válassza a TCP lehetőséget.
   Művelet	Hagyja meg az Engedélyezés alapértelmezett értékét.
   Prioritás	Hagyja meg a 100 alapértelmezett értéket.
   Név	Adja meg az allow-web-all parancsot.

4. Válassza a Hozzáadás lehetőséget.

5. Hajtsa végre az előző lépéseket a következő információkkal:

   Beállítás	Érték
   Forrás	Hagyja meg az Any alapértelmezett értékét.
   Forrásporttartományok	Hagyja meg a (*) alapértelmezett értékét.
   Cél	Válassza az Alkalmazás biztonsági csoportját.
   Célalkalmazás biztonsági csoportja	Válassza az asg-mgmt lehetőséget.
   Szolgáltatás	Válassza az RDP lehetőséget.
   Művelet	Hagyja meg az Engedélyezés alapértelmezett értékét.
   Prioritás	Hagyja meg a 110 alapértelmezett értéket.
   Név	Adja meg az allow-rdp-all parancsot.

6. Válassza a Hozzáadás lehetőséget.

Figyelemfelhívás

Ebben a cikkben az RDP (3389-as port) az asg-mgmt alkalmazásbiztonsági csoporthoz hozzárendelt virtuális gép internetére kerül.

Éles környezetekben ahelyett, hogy a 3389-ös portot az internetre tárja fel, ajánlott olyan Azure-erőforrásokhoz csatlakozni, amelyeket VPN, privát hálózati kapcsolat vagy Azure Bastion használatával szeretne kezelni.

Az Azure Bastionról további információt a Mi az Azure Bastion?

PowerShell

Hozzon létre egy biztonsági szabályt a New-AzNetworkSecurityRuleConfig használatával. Az alábbi példa egy szabályt hoz létre, amely engedélyezi az internetről az asg-webalkalmazás biztonsági csoportjába irányuló forgalmat a 80-as és a 443-as porton keresztül:

$webAsgParams = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$webAsg = Get-AzApplicationSecurityGroup @webAsgParams

$webRuleParams = @{
    Name = "Allow-Web-All"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 100
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $webAsg.id
    DestinationPortRange = 80,443
}
$webRule = New-AzNetworkSecurityRuleConfig @webRuleParams

Az alábbi példa egy szabályt hoz létre, amely engedélyezi az internetről az asg-mgmt alkalmazás biztonsági csoportjába irányuló forgalmat a 3389-as porton keresztül:

$mgmtAsgParams = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$mgmtAsg = Get-AzApplicationSecurityGroup @mgmtAsgParams

$mgmtRuleParams = @{
    Name = "Allow-RDP-All"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 110
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $mgmtAsg.id
    DestinationPortRange = 3389
}
$mgmtRule = New-AzNetworkSecurityRuleConfig @mgmtRuleParams

A Get-AzNetworkSecurityGroup használatával kérje le a meglévő hálózati biztonsági csoportot, majd adja hozzá az új szabályokat az += operátorhoz. Végül frissítse a hálózati biztonsági csoportot a Set-AzNetworkSecurityGroup használatával:

# Retrieve the existing network security group
$nsg = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"

# Add the new rules to the security group
$nsg.SecurityRules += $webRule
$nsg.SecurityRules += $mgmtRule

# Update the network security group with the new rules
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

Figyelemfelhívás

Ebben a cikkben az RDP (3389-as port) az asg-mgmt alkalmazásbiztonsági csoporthoz hozzárendelt virtuális gép internetére kerül.

Éles környezetekben ahelyett, hogy a 3389-ös portot az internetre tárja fel, ajánlott olyan Azure-erőforrásokhoz csatlakozni, amelyeket VPN, privát hálózati kapcsolat vagy Azure Bastion használatával szeretne kezelni.

Az Azure Bastionról további információt a Mi az Azure Bastion?

Parancssori felület

Hozzon létre egy biztonsági szabályt az az network nsg rule create használatával. Az alábbi példa egy szabályt hoz létre, amely engedélyezi az internetről az asg-webalkalmazás biztonsági csoportjába irányuló forgalmat a 80-as és a 443-as porton keresztül:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Web-All \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 100 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-web" \
  --destination-port-range 80 443

Az alábbi példa létrehoz egy szabályt, amely engedélyezi az internetről az asg-mgmt alkalmazás biztonsági csoportjába irányuló forgalmat a 22-as porton keresztül:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-SSH-All \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 110 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-mgmt" \
  --destination-port-range 22

Figyelemfelhívás

Ebben a cikkben az SSH (22-s port) az asg-mgmt alkalmazásbiztonsági csoporthoz hozzárendelt virtuális gép internete számára érhető el.

Éles környezetekben a 22-s port internetes megjelenítése helyett ajánlott olyan Azure-erőforrásokhoz csatlakozni, amelyeket VPN, magánhálózati kapcsolat vagy Azure Bastion használatával szeretne kezelni.

Az Azure Bastionról további információt a Mi az Azure Bastion?

Virtuális gépek létrehozása

Hozzon létre két virtuális gépet (virtuális gépet) a virtuális hálózaton.

Portál

1. A portálon keresse meg és válassza ki a virtuális gépeket.

2. A virtuális gépeken válassza a + Létrehozás, majd az Azure virtuális gép lehetőséget.

3. A Virtuális gép létrehozása lapon adja meg vagy válassza ki ezeket az információkat az Alapszintű beállítások lapon:

   Beállítás	Érték
   Projekt részletei
   Előfizetés	Válassza ki előfizetését.
   Erőforráscsoport	Válassza a test-rg lehetőséget.
   Példány részletei
   Virtuális gép neve	Írja be a vm-web parancsot.
   Régió	Válassza az USA 2. keleti régióját.
   Rendelkezésre állási beállítások	Hagyja meg a Nincs szükség infrastruktúra-redundanciára vonatkozó alapértelmezett beállítást.
   Biztonsági típus	Válassza a Standard lehetőséget.
   Kép	Válassza a Windows Server 2022 Datacenter – x64 Gen2 lehetőséget.
   Azure Spot-példány	Hagyja bejelöletlenül az alapértelmezett értéket.
   Méret	Válasszon ki egy méretet.
   Rendszergazdai fiók
   Felhasználónév	Adjon meg egy felhasználónevet.
   Jelszó	Adjon meg egy jelszót.
   Jelszó megerősítése	Jelszó újraküldése.
   Bejövő portszabályok
   Bejövő portok kiválasztása	Válassza a Nincs lehetőséget.

4. Válassza a Következő: Lemezek , majd a Következő: Hálózatkezelés lehetőséget.

5. A Hálózatkezelés lapon adja meg vagy válassza ki a következő adatokat:

   Beállítás	Érték
   Hálózati adapter
   Virtuális hálózat	Válassza a vnet-1 lehetőséget.
   Alhálózat	Válassza az 1. alhálózatot (10.0.0.0/24).
   Nyilvános IP-cím	Hagyja meg az új nyilvános IP-cím alapértelmezett értékét.
   Hálózati hálózati biztonsági csoport	Válassza a Nincs lehetőséget.

6. Válassza a Véleményezés + létrehozás lapot, vagy válassza a kék Véleményezés + létrehozás gombot az oldal alján.

7. Válassza a Létrehozás lehetőséget. A virtuális gép üzembe helyezése eltarthat néhány percig.

8. Ismételje meg az előző lépéseket egy vm-mgmt nevű második virtuális gép létrehozásához.

PowerShell

A virtuális gépek létrehozása előtt kérje le a virtuális hálózati objektumot az alhálózattal a Get-AzVirtualNetwork használatával:

$virtualNetworkParams = @{
    Name = "vnet-1"
    ResourceGroupName = "test-rg"
}
$virtualNetwork = Get-AzVirtualNetwork @virtualNetworkParams

Hozzon létre egy nyilvános IP-címet minden egyes virtuális géphez a New-AzPublicIpAddress használatával:

$publicIpWebParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-web"
}
$publicIpWeb = New-AzPublicIpAddress @publicIpWebParams

$publicIpMgmtParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-mgmt"
}
$publicIpMgmt = New-AzPublicIpAddress @publicIpMgmtParams

Hozzon létre két hálózati adaptert a New-AzNetworkInterface használatával, és rendeljen hozzá egy nyilvános IP-címet a hálózati adapterhez. Az alábbi példa létrehoz egy hálózati adaptert, és a nyilvános ip-vm-web nyilvános IP-címet társítja hozzá.

$webNicParams = @{
    Location = "westus2"
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpWeb.Id
}
$webNic = New-AzNetworkInterface @webNicParams

Az alábbi példa létrehoz egy hálózati adaptert, amely a nyilvános ip-vm-mgmt nyilvános IP-címet társítja hozzá.

$mgmtNicParams = @{
    Location = "westus2"
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpMgmt.Id
}
$mgmtNic = New-AzNetworkInterface @mgmtNicParams

Hozzon létre két virtuális gépet a virtuális hálózatban, hogy érvényesíthesse majd a fogalom szűrését egy később lépésben.

Hozzon létre egy virtuálisgép-konfigurációt a New-AzVMConfig használatával, majd hozza létre a virtuális gépet a New-AzVM használatával. Az alábbi példa egy webkiszolgálóként szolgáló virtuális gépet hoz létre. Az -AsJob kapcsoló a háttérben hozza létre a virtuális gépet, így Ön eközben folytathatja a következő lépéssel.

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

$webVmConfigParams = @{
    VMName = "vm-web"
    VMSize = "Standard_DS1_V2"
}

$vmOSParams = @{
    ComputerName = "vm-web"
    Credential = $cred
}

$vmImageParams = @{
    PublisherName = "MicrosoftWindowsServer"
    Offer = "WindowsServer"
    Skus = "2022-Datacenter"
    Version = "latest"
}

$webVmConfig = New-AzVMConfig @webVmConfigParams | Set-AzVMOperatingSystem -Windows @vmOSParams | Set-AzVMSourceImage @vmImageParams | Add-AzVMNetworkInterface -Id $webNic.Id

$webVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $webVmConfig
}

New-AzVM @webVmParams -AsJob

Hozzon létre egy felügyeleti kiszolgálóként szolgáló virtuális gépet:

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

$webVmConfigParams = @{
    VMName = "vm-mgmt"
    VMSize = "Standard_DS1_V2"
}

$vmOSParams = @{
    ComputerName = "vm-mgmt"
    Credential = $cred
}

$vmImageParams = @{
    PublisherName = "MicrosoftWindowsServer"
    Offer = "WindowsServer"
    Skus = "2022-Datacenter"
    Version = "latest"
}

$mgmtVmConfig = New-AzVMConfig @webVmConfigParams | Set-AzVMOperatingSystem -Windows @vmOSParams | Set-AzVMSourceImage @vmImageParams | Add-AzVMNetworkInterface -Id $mgmtNic.Id

$mgmtVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $mgmtVmConfig
}

New-AzVM @mgmtVmParams

A virtuális gép létrehozása néhány percet vesz igénybe. Ne ugorjon a következő lépésre, amíg az Azure be nem fejezte a virtuális gép létrehozását.

Parancssori felület

Hozzon létre két virtuális gépet a virtuális hálózatban, hogy érvényesíthesse majd a fogalom szűrését egy később lépésben.

Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa egy webkiszolgálóként szolgáló virtuális gépet hoz létre. A --nsg "" beállítás meg van adva, hogy az Azure ne hozzon létre alapértelmezett hálózati biztonsági csoportot az Azure által a virtuális gép létrehozásakor létrehozott hálózati adapterhez. A parancssor arra kéri, hogy hozzon létre egy jelszót a virtuális géphez. Ebben a példában az SSH-kulcsok nem használhatók a cikk későbbi lépéseinek megkönnyítésére. Éles környezetben használja az SSH-kulcsokat a biztonság érdekében.

az vm create \
  --resource-group test-rg \
  --name vm-web \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --authentication-type password \
  --assign-identity

A virtuális gép üzembe helyezése néhány percet vesz igénybe. A virtuális gép létrehozása után a rendszer az alábbi példához hasonló kimenetet ad vissza:

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-web",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Hozzon létre egy virtuális gépet az az vm create paranccsal. Az alábbi példa létrehoz egy felügyeleti kiszolgálóként szolgáló virtuális gépet.

Az alábbi példa létrehoz egy virtuális gépet, és hozzáad egy felhasználói fiókot. A --generate-ssh-keys paraméter hatására a parancssori felület egy elérhető ssh-kulcsot keres a fájlban ~/.ssh. Ha talál ilyet, a rendszer ezt a kulcsot használja. Ha nem, akkor a rendszer létrehoz és tárol egyet.~/.ssh Végül üzembe helyezzük a legújabb Ubuntu 22.04 rendszerképet.

az vm create \
  --resource-group test-rg \
  --name vm-mgmt \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --generate-ssh-keys \
  --assign-identity

A virtuális gép üzembe helyezése néhány percet vesz igénybe. Ne ugorjon a következő lépésre, amíg az Azure be nem fejezte a virtuális gép létrehozását.

Hálózati adapterek társítása ASG-hez

Portál

A virtuális gépek létrehozásakor az Azure létrehozott egy hálózati adaptert minden egyes virtuális géphez, és csatlakoztatta a virtuális géphez.

Adja hozzá az egyes virtuális gépek hálózati adapterét a korábban létrehozott alkalmazásbiztonsági csoportok egyikéhez:

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között, majd válassza a vm-web lehetőséget.

2. Válassza ki az alkalmazásbiztonsági csoportokat a virtuálisgép-web Hálózatkezelés szakaszából.

3. Válassza az Alkalmazásbiztonsági csoportok hozzáadása lehetőséget, majd az Alkalmazásbiztonsági csoportok hozzáadása lapon válassza az asg-web lehetőséget. Végül válassza a Hozzáadás lehetőséget.

   

4. Ismételje meg az előző lépéseket a vm-mgmt esetében, és válassza az asg-mgmt lehetőséget az Alkalmazásbiztonsági csoportok hozzáadása lapon.

PowerShell

A Get-AzNetworkInterface használatával kérje le a virtuális gép hálózati adapterét, majd a Get-AzApplicationSecurityGroup használatával kérje le az alkalmazásbiztonsági csoportot. Végül a Set-AzNetworkInterface használatával társítsa az alkalmazásbiztonsági csoportot a hálózati adapterhez. Az alábbi példa az asg-webalkalmazás biztonsági csoportját a vm-web-nic hálózati adapterhez társítja:

$params1 = @{
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

Ismételje meg a parancsot az asg-mgmt alkalmazás biztonsági csoportjának a vm-mgmt-nic hálózati adapterhez való társításához.

$params1 = @{
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

Parancssori felület

Az az network nic update használatával társíthatja a hálózati adaptert az alkalmazásbiztonsági csoporthoz. Az alábbi példa az asg-webalkalmazás biztonsági csoportját a vm-web-nic hálózati adapterhez társítja:

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-web --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-web \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-web

Ismételje meg a parancsot az asg-mgmt alkalmazás biztonsági csoportjának a vm-mgmt-nic hálózati adapterhez való társításához.

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-mgmt --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-mgmt \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-mgmt

Forgalomszűrők tesztelése

Portál

1. A portál tetején található keresőmezőbe írja be a virtuális gépet. Válassza ki a virtuális gépeket a keresési eredmények között.

2. Válassza ki a vm-mgmt elemet.

3. Az Áttekintés lapon válassza a Csatlakozás gombot, majd a Natív RDP lehetőséget.

4. Válassza az RDP-fájl letöltése lehetőséget.

5. Nyissa meg a letöltött RDP-fájlt, és válassza a Csatlakozás lehetőséget. Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót.

6. Kattintson az OK gombra.

7. Előfordulhat, hogy a kapcsolati folyamat során tanúsítványriasztást kap. Ha a figyelmeztetést kapja, válassza az Igen vagy a Folytatás lehetőséget a kapcsolat folytatásához.

   A kapcsolat sikeres, mert az internetről az asg-mgmt alkalmazás biztonsági csoportjába irányuló bejövő forgalom a 3389-as porton keresztül engedélyezett.

   A vm-mgmt hálózati adaptere az asg-mgmt alkalmazás biztonsági csoporthoz van társítva, és engedélyezi a kapcsolatot.

8. Nyisson meg egy PowerShell-munkamenetet a vm-mgmt rendszeren. Csatlakozzon a vm-webhez a következő használatával:

   mstsc /v:vm-web
   

   A vm-mgmt és a vm-web közötti RDP-kapcsolat sikeres, mert az ugyanazon a hálózaton lévő virtuális gépek alapértelmezés szerint bármilyen porton keresztül kommunikálhatnak egymással.

   Az internetről nem hozhat létre RDP-kapcsolatot a virtuális géppel . Az asg-web biztonsági szabálya megakadályozza az internetről bejövő 3389-as port kapcsolatait. Az internetről érkező bejövő forgalom alapértelmezés szerint minden erőforrásra le lesz tagadva.

9. A Microsoft IIS virtuális gépre való telepítéséhez írja be a következő parancsot egy PowerShell-munkamenetből a virtuális gép virtuális gépén:

   Install-WindowsFeature -name Web-Server -IncludeManagementTools
   

10. Az IIS telepítése után bontsa le a kapcsolatot a virtuálisgép-web virtuális gépről, amely a virtuális gép távoli asztali kapcsolatában marad.

11. Válassza le a vm-mgmt virtuális gépet.

12. Virtuálisgép-web keresése a portál keresőmezőjében.

13. A virtuálisgép-web Áttekintés lapján jegyezze fel a virtuális gép nyilvános IP-címét. Az alábbi példában látható cím a 203.0.113.103. Az Ön címe eltérő:

    

14. Annak ellenőrzéséhez, hogy hozzáfér-e a virtuálisgép-webkiszolgálóhoz az internetről, nyisson meg egy webböngészőt a számítógépen, és keresse meg a következőt http://<public-ip-address-from-previous-step>: .

Az IIS alapértelmezett lapja jelenik meg, mivel az internetről az asg-webalkalmazás biztonsági csoportjába irányuló bejövő forgalom a 80-as porton keresztül engedélyezett.

A vm-webhez csatolt hálózati adapter az asg-web alkalmazás biztonsági csoporthoz van társítva, és engedélyezi a kapcsolatot.

PowerShell

A Get-AzPublicIpAddress használatával adja vissza a virtuális gép nyilvános IP-címét. Az alábbi példa a vm-mgmt virtuális gép nyilvános IP-címét adja vissza:

$params = @{
    Name = "public-ip-vm-mgmt"
    ResourceGroupName = "test-rg"
}
$publicIP = Get-AzPublicIpAddress @params | Select IpAddress

Az alábbi paranccsal hozzon létre egy távoli asztali munkamenetet a vm-mgmt virtuális géppel a helyi számítógépről.

mstsc /v:$publicIP

Adja meg a virtuális gép létrehozásakor megadott felhasználónevet és jelszót (előfordulhat, hogy a További lehetőségek lehetőséget kell választania, majd egy másik fiók használatával meg kell adnia a virtuális gép létrehozásakor megadott hitelesítő adatokat), majd kattintson az OK gombra. A bejelentkezés során egy figyelmeztetés jelenhet meg a tanúsítvánnyal kapcsolatban. Válassza az Igen lehetőséget a csatlakozás folytatásához.

A kapcsolat sikeres. A 3389-as port az internetről az asg-mgmt alkalmazás biztonsági csoportjába irányuló bejövő forgalomra engedélyezett. A vm-mgmt virtuális géphez csatlakoztatott hálózati adapter ebben a csoportban található.

A következő paranccsal hozzon létre távoli asztali kapcsolatot a virtuálisgép-web virtuális géppel a vm-mgmt virtuális gépről a következő paranccsal a PowerShellből:

mstsc /v:vm-web

A kapcsolat sikeresen létrejön, mert az egyes hálózati biztonsági csoportokon belüli alapértelmezett biztonsági szabály minden porton keresztül engedélyezi a forgalmat a virtuális hálózaton belüli összes IP-cím között. Nem hozhat létre távoli asztali kapcsolatot a virtuálisgép-web virtuális géppel az internetről, mert az asg-web biztonsági szabálya nem engedélyezi a 3389-as port internetről való bejövő forgalmát.

A Következő paranccsal telepítse a Microsoft IIS-t a virtuálisgép-web virtuális gépre a PowerShellből:

Install-WindowsFeature -name Web-Server -IncludeManagementTools

Az IIS telepítése után bontsa le a kapcsolatot a virtuálisgép-web virtuális gépről, amely a vm-mgmt virtuális gép távoli asztali kapcsolatán marad. Az IIS üdvözlőképernyőjének megtekintéséhez nyisson meg egy webböngészőt, és keresse meg a http://vm-web.

Válassza le a vm-mgmt virtuális gépet.

A számítógépen írja be a következő parancsot a PowerShellből a virtuálisgép-webkiszolgáló nyilvános IP-címének lekéréséhez:

$params = @{
    Name = "public-ip-vm-web"
    ResourceGroupName = "test-rg"
}
Get-AzPublicIpAddress @params | Select IpAddress

Annak ellenőrzéséhez, hogy hozzáfér-e a virtuálisgép-webkiszolgálóhoz az Azure-on kívülről, nyisson meg egy webböngészőt a számítógépen, és keresse meg a következőthttp://<public-ip-address-from-previous-step>: . A kapcsolat sikeres. A 80-as port az internetről az asg-webalkalmazás biztonsági csoportjába irányuló bejövő forgalomra engedélyezett. A virtuálisgép-web virtuális géphez csatolt hálózati adapter ebben a csoportban található.

Parancssori felület

A választott SSH-ügyfél használatával csatlakozzon a korábban létrehozott virtuális gépekhez. A következő parancs például egy parancssori felületről használható, például Linuxos Windows-alrendszer SSH-munkamenet létrehozásához a vm-mgmt virtuális géppel. Bejelentkezhet a virtuális gépekre a Microsoft Entra-azonosító hitelesítő adataival, vagy használhatja a virtuális gépek létrehozásához használt SSH-kulcsot. Az alábbi példában az SSH-kulccsal jelentkezünk be a felügyeleti virtuális gépbe, majd jelszóval jelentkezünk be a webes virtuális gépre a felügyeleti virtuális gépről.

A Linux rendszerű virtuális gépekre való SSH és a Microsoft Entra ID használatával való bejelentkezésről további információt a Microsoft Entra ID és az OpenSSH használatával az Azure-beli Linux rendszerű virtuális gépekre való bejelentkezéssel kapcsolatban talál.

A virtuális gép IP-címének tárolása az SSH-hoz

Futtassa a következő parancsot a virtuális gép IP-címének környezeti változóként való tárolásához:

export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-mgmt --query publicIps --output tsv)

ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS

A kapcsolat sikeres, mert a vm-mgmt virtuális géphez csatlakoztatott hálózati adapter az asg-mgmt alkalmazás biztonsági csoportjában található, amely lehetővé teszi a 22-s port internetről való bejövő forgalmát.

Az alábbi paranccsal SSH-t használhat a virtuálisgép-web virtuális gépre a vm-mgmt virtuális gépről:

ssh -o StrictHostKeyChecking=no azureuser@vm-web

A kapcsolat sikeresen létrejön, mert az egyes hálózati biztonsági csoportokon belüli alapértelmezett biztonsági szabály minden porton keresztül engedélyezi a forgalmat a virtuális hálózaton belüli összes IP-cím között. Nem lehet SSH-t adni a virtuálisgép-web virtuális gépnek az internetről, mert az asg-web biztonsági szabálya nem engedélyezi a 22-s portot az internetről.

Az nginx-webkiszolgálót a következő parancsokkal telepítheti a vm-web virtuális gépre:

# Update package source
sudo apt-get -y update

# Install NGINX
sudo apt-get -y install nginx

A virtuálisgép-web virtuális gép az internetre kifelé haladva lekérheti az nginxet, mert egy alapértelmezett biztonsági szabály lehetővé teszi az összes kimenő internetes forgalmat. Lépjen ki a vm-web SSH-munkamenetből, amely a username@vm-mgmt:~$ vm-mgmt virtuális gép parancssorából indul ki. Ha le szeretné kérni az nginx üdvözlőképernyőjét a vm-web virtuális gépről, írja be a következő parancsot:

curl vm-web

Jelentkezzen ki a vm-mgmt virtuális gépről. Annak ellenőrzéséhez, hogy hozzáfér-e a virtuálisgép-web webkiszolgálóhoz az Azure-on kívülről, írja be curl <publicIpAddress> a saját számítógépéről. A kapcsolat sikeres, mert az asg-webalkalmazás biztonsági csoportja, amelyben a virtuálisgép-web virtuális géphez csatlakoztatott hálózati adapter található, lehetővé teszi a 80-as portot az internetről.

Portál

Ha befejezte a létrehozott erőforrások használatát, törölheti az erőforráscsoportot és annak összes erőforrását.

1. Az Azure Portalon keresse meg és válassza ki az erőforráscsoportokat.

2. Az Erőforráscsoportok lapon válassza ki a test-rg erőforráscsoportot.

3. A test-rg lapon válassza az Erőforráscsoport törlése lehetőséget.

4. A törlés megerősítéséhez írja be a test-rg értéket az Erőforráscsoport neve mezőbe, majd válassza a Törlés lehetőséget.

PowerShell

Ha már nincs rá szükség, a Remove-AzResourceGroup használatával eltávolíthatja az erőforráscsoportot és az összes benne lévő erőforrást:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

Parancssori felület

Ha már nincs rá szükség, az az group delete használatával távolítsa el az erőforráscsoportot és az összes benne lévő erőforrást.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Következő lépések

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

• Létrehozott egy hálózati biztonsági csoportot, és hozzárendelte egy virtuális hálózati alhálózathoz.
• Alkalmazásbiztonsági csoportokat hozott létre webes és felügyeleti célokra.
• Két virtuális gépet hozott létre, és a hálózati adaptereket az alkalmazásbiztonsági csoportokkal társította.
• Tesztelte az alkalmazásbiztonsági csoport hálózati szűrését.

A hálózati biztonsági csoportokkal kapcsolatos további információ: Hálózati biztonsági csoportok áttekintése és Hálózati biztonsági csoportok kezelése.

Az Azure alapértelmezés szerint irányítja a forgalmat az alhálózatok között. Ehelyett dönthet úgy, hogy az alhálózatok közötti forgalmat egy virtuális gépen keresztül irányítja át, például tűzfalként szolgálva.

Ha meg szeretné ismerni, hogyan hozhat létre útválasztási táblázatot, folytassa a következő oktatóanyaggal.

Útvonaltábla létrehozása