Végpontok beállítása Windows rendszerű virtuális gépen a klasszikus üzemi modellel
Fontos
A klasszikus virtuális gépeket 2023. március 1-jén kivonjuk.
Ha IaaS-erőforrásokat használ az ASM-ből, 2023. március 1-ig fejezze be a migrálást. Javasoljuk, hogy előbb végezze el a váltást, hogy kihasználhassa az Azure Resource Manager számos funkciófejlesztését.
További információ: IaaS-erőforrások migrálása az Azure Resource Manager-be 2023. március 1-ig.
Az Azure-ban a klasszikus üzemi modellel létrehozott Windows rendszerű virtuális gépek automatikusan kommunikálhatnak egy magánhálózati csatornán ugyanazon a felhőszolgáltatáson vagy virtuális hálózaton található más virtuális gépekkel. Az interneten vagy más virtuális hálózatokon található számítógépeknek azonban végpontokra van szükségük ahhoz, hogy a bejövő hálózati forgalmat egy virtuális géphez irányítják.
Végpontokat linuxos virtuális gépeken is beállíthat.
Fontos
Az Azure két különböző üzembehelyezési modellel rendelkezik az erőforrások létrehozásához és kezeléséhez: Resource Manager és klasszikus. Ez a cikk a klasszikus üzembehelyezési modellt ismerteti. A Microsoft azt javasolja, hogy az új telepítések esetén a Resource Manager modellt használja.
2017. november 15-től a virtuális gépek csak a Azure Portal érhetők el.
A Resource Manager üzemi modellben a végpontok hálózati biztonsági csoportok (NSG-k) használatával vannak konfigurálva. További információ: A virtuális géphez való külső hozzáférés engedélyezése a Azure Portal használatával.
Amikor windowsos virtuális gépet hoz létre a Azure Portal, a rendszer általában automatikusan létrehozza a gyakori végpontokat, például a távoli asztal végpontjait és a Windows PowerShell újraküldést. Később szükség szerint további végpontokat is konfigurálhat.
Minden végpont rendelkezik nyilvános porttal és privát porttal:
- Az Azure load balancer a nyilvános portot használja a virtuális gép internetes bejövő forgalmának figyelésére.
- A privát portot a virtuális gép használja a bejövő forgalom figyelésére, amely általában egy, a virtuális gépen futó alkalmazásra vagy szolgáltatásra irányul.
A jól ismert hálózati protokollokhoz tartozó IP-protokoll és TCP- vagy UDP-portok alapértelmezett értékei a Azure Portal végpontok létrehozásakor lesznek megadva. Egyéni végpontok esetén adja meg a megfelelő IP-protokollt (TCP vagy UDP), valamint a nyilvános és privát portokat. Ha a bejövő forgalmat véletlenszerűen szeretné elosztani több virtuális gép között, hozzon létre egy elosztott terhelésű készletet, amely több végpontból áll.
A végpont létrehozása után egy hozzáférés-vezérlési listával (ACL) definiálhat olyan szabályokat, amelyek engedélyezik vagy letiltják a végpont nyilvános portjára érkező forgalmat a forrás IP-címe alapján. Ha azonban a virtuális gép egy Azure-beli virtuális hálózatban található, használjon inkább hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.
Megjegyzés
Az Azure-beli virtuális gépek tűzfalkonfigurációja automatikusan megtörténik az Azure által automatikusan beállított távoli kapcsolati végpontokhoz társított portokon. Az összes többi végponthoz megadott portok esetében a rendszer nem végez automatikusan konfigurációt a virtuális gép tűzfalán. Amikor végpontot hoz létre a virtuális géphez, győződjön meg arról, hogy a virtuális gép tűzfala a végpont konfigurációjának megfelelő protokoll és privát port forgalmát is engedélyezi. A tűzfal konfigurálásához tekintse meg a virtuális gépen futó operációs rendszer dokumentációját vagy online súgóját.
Végpont létrehozása
Jelentkezzen be az Azure Portalra.
Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gépet.
Válassza a Végpontok lehetőséget a Beállítások csoportban. Megjelenik a Végpontok lap, amely felsorolja a virtuális gép összes aktuális végpontját. (Ez a példa Windows rendszerű virtuális gépekre mutat be. A Linux rendszerű virtuális gépek alapértelmezés szerint egy SSH-végpontot fognak megjeleníteni.)
A végpontbejegyzések feletti parancssávon válassza a Hozzáadás lehetőséget. Megjelenik a Végpont hozzáadása lap.
A Név mezőbe írja be a végpont nevét.
Protokoll esetén válassza a TCP vagy az UDP lehetőséget.
Nyilvános port esetén adja meg az internetről bejövő forgalom portszámát.
Privát port esetén adja meg azt a portszámot, amelyen a virtuális gép figyel. A nyilvános és a privát portszám eltérő lehet. Győződjön meg arról, hogy a virtuális gép tűzfala úgy van konfigurálva, hogy engedélyezze a protokollnak és a privát portnak megfelelő forgalmat.
Válassza az OK lehetőséget.
Az új végpont megjelenik a Végpontok lapon.
Az ACL kezelése egy végponton
A forgalmat küldő számítógépek halmazának meghatározásához a végpont ACL-je korlátozhatja a forgalmat a forrás IP-címe alapján. Az alábbi lépéseket követve adhat hozzá, módosíthat vagy távolíthat el ACL-t egy végponton.
Megjegyzés
Ha a végpont egy elosztott terhelésű készlet része, a rendszer a végponton végzett ACL-módosításokat a készlet összes végpontjára alkalmazza.
Ha a virtuális gép Azure-beli virtuális hálózatban található, ACL-ek helyett használjon hálózati biztonsági csoportokat. További információ: Tudnivalók a hálózati biztonsági csoportokról.
Jelentkezzen be az Azure Portalra.
Válassza a Virtuális gépek lehetőséget, majd válassza ki a konfigurálni kívánt virtuális gép nevét.
Válassza a Végpontok lehetőséget. A végpontok listájában válassza ki a megfelelő végpontot. Az ACL-lista a lap alján található.
A lista sorait használva adhat hozzá, törölhet vagy szerkeszthet szabályokat egy ACL-hez, és módosíthatja azok sorrendjét. A TÁVOLI ALHÁLÓZAT értéke egy IP-címtartomány az internetről bejövő forgalomhoz, amelyet az Azure terheléselosztó a forrás IP-címe alapján a forgalom engedélyezésére vagy letiltására használ. Ügyeljen arra, hogy az IP-címtartományt osztály nélküli tartományközi útválasztási (CIDR) formátumban, más néven címelőtag formátumban adja meg. Például:
10.1.0.0/8
.
Szabályok használatával csak az internethez tartozó adott számítógépekről érkező forgalmat engedélyezheti, vagy letilthatja a forgalmat adott ismert címtartományokból.
A szabályok kiértékelése az első szabálytól kezdve az utolsó szabályig tart. Ezért a szabályokat a legkevésbé korlátozótól a legszigorúbbig kell elrendelni. További információ: Mi az a hálózati Access Control lista.
Következő lépések
- Ha Azure PowerShell parancsmagot szeretne használni egy virtuálisgép-végpont beállításához, olvassa el az Add-AzureEndpoint című témakört.
- Ha Azure PowerShell parancsmagot szeretne használni egy végpont ACL-jének kezeléséhez, tekintse meg a végpontok hozzáférés-vezérlési listáinak (ACL-jeinek) a PowerShell használatával történő kezelését ismertető cikket.
- Ha létrehozott egy virtuális gépet a Resource Manager üzembehelyezési modellben, a Azure PowerShell használatával hálózati biztonsági csoportokat hozhat létre a virtuális gép felé történő forgalom szabályozásához.