Mengonfigurasi grup keamanan jaringan untuk sistem file Azure Managed Lustre
Grup keamanan jaringan dapat dikonfigurasi untuk memfilter lalu lintas jaringan masuk dan keluar ke dan dari sumber daya Azure di jaringan virtual Azure. Grup keamanan jaringan dapat berisi aturan keamanan yang memfilter lalu lintas jaringan menurut alamat IP, port, dan protokol. Saat kelompok keamanan jaringan dikaitkan dengan subnet, aturan keamanan diterapkan ke sumber daya yang disebarkan di subnet tersebut.
Artikel ini menjelaskan cara mengonfigurasi aturan grup keamanan jaringan untuk mengamankan akses ke kluster sistem file Azure Managed Lustre sebagai bagian dari strategi Zero Trust .
Prasyarat
- Langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
- Jaringan virtual dengan subnet yang dikonfigurasi untuk memungkinkan dukungan sistem file Azure Managed Lustre. Untuk mempelajari lebih lanjut, lihat Prasyarat jaringan.
- Sistem file Azure Managed Lustre yang disebarkan di langganan Azure Anda. Untuk mempelajari selengkapnya, lihat Membuat sistem file Azure Managed Lustre.
Membuat dan mengonfigurasi grup keamanan jaringan
Anda dapat menggunakan kelompok keamanan jaringan Azure untuk memfilter lalu lintas jaringan antara sumber daya Azure di jaringan virtual Azure. Kelompok keamanan jaringan berisi aturan keamanan yang memungkinkan atau menolak lalu lintas jaringan masuk ke, atau, lalu lintas jaringan keluar dari, beberapa jenis sumber daya Azure. Untuk setiap aturan, Anda dapat menentukan sumber dan tujuan, port, dan protokol.
Untuk membuat grup keamanan jaringan di portal Azure, ikuti langkah-langkah berikut:
Di kotak pencarian di bagian atas portal, masukkan Grup keamanan jaringan. Pilih Grup keamanan jaringan di hasil penelusuran.
Pilih + Buat.
Di halaman Buat grup keamanan jaringan, di bawah tab Dasar , masukkan atau pilih nilai berikut ini:
Pengaturan Tindakan Detail proyek Langganan Pilih langganan Azure Anda. Grup sumber daya Pilih grup sumber daya yang sudah ada, atau buat yang baru dengan memilih Buat baru. Contoh ini menggunakan grup sumber daya sample-rg . Detail instans Nama grup keamanan jaringan Masukkan nama untuk grup keamanan jaringan yang Sedang Anda buat. Wilayah Pilih wilayah yang Anda inginkan. 
Pilih Tinjau + buat.
Setelah muncul pesan Validasi berhasil, pilih Buat.
Mengaitkan grup keamanan jaringan ke subnet
Setelah grup keamanan jaringan dibuat, Anda dapat mengaitkannya ke subnet unik di jaringan virtual Tempat sistem file Azure Managed Lustre berada. Untuk mengaitkan grup keamanan jaringan ke subnet menggunakan portal Azure, ikuti langkah-langkah berikut:
Dalam kotak pencarian di bagian atas portal, masukkan Grup keamanan jaringan dan pilih Kelompok keamanan jaringan di hasil pencarian.
Pilih nama grup keamanan jaringan Anda, lalu pilih Subnet.
Untuk mengaitkan grup keamanan jaringan ke subnet, pilih + Kaitkan, lalu pilih jaringan virtual Anda dan subnet yang ingin Anda kaitkan dengan grup keamanan jaringan. Pilih OK.
Mengonfigurasi aturan grup keamanan jaringan
Untuk mengonfigurasi aturan grup keamanan jaringan untuk dukungan sistem file Azure Managed Lustre, Anda dapat menambahkan aturan keamanan masuk dan keluar ke grup keamanan jaringan yang terkait dengan subnet tempat sistem file Azure Managed Lustre Anda disebarkan. Bagian berikut menjelaskan cara membuat dan mengonfigurasi aturan keamanan masuk dan keluar yang memungkinkan dukungan sistem file Azure Managed Lustre.
Catatan
Aturan keamanan yang ditampilkan di bagian ini dikonfigurasi berdasarkan penyebaran pengujian sistem file Azure Managed Lustre di wilayah US Timur, dengan integrasi Blob Storage diaktifkan. Anda harus menyesuaikan aturan berdasarkan wilayah penyebaran, alamat IP subnet jaringan virtual, dan pengaturan konfigurasi lainnya untuk sistem file Azure Managed Lustre.
Membuat aturan keamanan masuk
Anda dapat membuat aturan keamanan masuk di portal Azure. Contoh berikut menunjukkan cara membuat dan mengonfigurasi aturan keamanan masuk baru:
- Di portal Azure, buka sumber daya grup keamanan jaringan yang Anda buat di langkah sebelumnya.
- Pilih Aturan keamanan masuk di bawah Pengaturan.
- Pilih + Tambah.
- Di panel Tambahkan aturan keamanan masuk, konfigurasikan pengaturan untuk aturan dan pilih Tambahkan.
Tambahkan aturan masuk berikut ke grup keamanan jaringan:
| Prioritas | Nama | Port | Protokol | Sumber | Tujuan | Tindakan | Deskripsi |
|---|---|---|---|---|---|---|---|
| 110 | nama aturan | Apa pun | Apa pun | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | Izinkan | Mengizinkan protokol atau port mengalir antar host pada subnet sistem file Azure Managed Lustre. Misalnya, sistem menggunakan port TCP 22 (SSH) untuk penyebaran dan konfigurasi awal. |
| 111 | nama aturan | 988, 1019-1023 | TCP | Alamat IP/rentang CIDR untuk subnet klien Lustre | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | Izinkan | Izinkan komunikasi antara subnet klien Lustre dan subnet sistem file Azure Managed Lustre. Hanya memungkinkan port TCP 988 dan 1019-1023 pada sumber dan tujuan. |
| 112 | nama aturan | Mana pun | TCP | AzureMonitor |
VirtualNetwork |
Izinkan | Izinkan alur masuk dari tag layanan AzureMonitor. Izinkan port sumber TCP 443 saja. |
| 120 | nama aturan | Apa pun | Apa pun | Apa pun | Apa pun | Tolak | Tolak semua alur masuk lainnya. |
Aturan keamanan masuk di portal Azure akan terlihat mirip dengan cuplikan layar berikut. Cuplikan layar disediakan sebagai contoh; lihat tabel untuk daftar lengkap aturan. Anda harus menyesuaikan alamat IP subnet/rentang CIDR dan pengaturan lainnya berdasarkan penyebaran Anda:
Membuat aturan keamanan keluar
Anda dapat membuat aturan keamanan keluar di portal Azure. Contoh berikut menunjukkan cara membuat dan mengonfigurasi aturan keamanan keluar baru:
- Di portal Azure, buka sumber daya grup keamanan jaringan yang Anda buat di langkah sebelumnya.
- Pilih Aturan keamanan keluar di bawah Pengaturan.
- Pilih + Tambah.
- Di panel Tambahkan aturan keamanan keluar, konfigurasikan pengaturan untuk aturan dan pilih Tambahkan.
Tambahkan aturan keluar berikut ke grup keamanan jaringan:
| Prioritas | Nama | Port | Protokol | Sumber | Tujuan | Tindakan | Deskripsi |
|---|---|---|---|---|---|---|---|
| 100 | nama aturan | 443 | TCP | VirtualNetwork |
AzureMonitor |
Izinkan | Izinkan alur keluar ke AzureMonitor tag layanan. Port tujuan TCP hanya 443. |
| 101 | nama aturan | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Izinkan | Izinkan alur keluar ke AzureKeyVault.EastUS tag layanan. Port tujuan TCP hanya 443. |
| 102 | nama aturan | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Izinkan | Izinkan alur keluar ke AzureActiveDirectory tag layanan. Port tujuan TCP hanya 443. |
| 103 | nama aturan | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Izinkan | Izinkan alur keluar ke Storage.EastUS tag layanan. Port tujuan TCP hanya 443. |
| 104 | nama aturan | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Izinkan | Mengizinkan alur keluar ke GuestAndHybridManagement tag layanan. Port tujuan TCP hanya 443. |
| 105 | nama aturan | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Izinkan | Izinkan alur keluar ke ApiManagement.EastUS tag layanan. Port tujuan TCP hanya 443. |
| 106 | nama aturan | 443 | TCP | VirtualNetwork |
AzureDataLake |
Izinkan | Izinkan alur keluar ke AzureDataLake tag layanan. Port tujuan TCP hanya 443. |
| 107 | nama aturan | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Izinkan | Mengizinkan alur keluar ke AzureResourceManager tag layanan. Port tujuan TCP hanya 443. |
| 108 | nama aturan | 988, 1019-1023 | TCP | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | Alamat IP/rentang CIDR untuk subnet klien Lustre | Izinkan | Izinkan alur keluar untuk sistem file Azure Managed Lustre ke klien Lustre. Hanya memungkinkan port TCP 988 dan 1019-1023 pada sumber dan tujuan. |
| 109 | nama aturan | 123 | UDP | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | 168.61.215.74/32 | Izinkan | Izinkan alur keluar ke server MS NTP (168.61.215.74). Hanya port tujuan UDP 123. |
| 110 | nama aturan | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Izinkan | Izinkan alur keluar ke telemetri Azure Managed Lustre (20.45.120.0/21). Port tujuan TCP hanya 443. |
| 111 | nama aturan | Apa pun | Apa pun | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | Alamat IP/rentang CIDR untuk subnet sistem file Azure Managed Lustre | Izinkan | Mengizinkan protokol atau port mengalir antar host pada subnet sistem file Azure Managed Lustre. Misalnya, sistem menggunakan port TCP 22 (SSH) untuk penyebaran dan konfigurasi awal. |
| 112 | nama aturan | 443 | TCP | VirtualNetwork |
EventHub |
Izinkan | Mengizinkan alur keluar ke EventHub tag layanan. Port tujuan TCP hanya 443. |
| 1000 | nama aturan | Apa pun | Apa pun | VirtualNetwork |
Internet |
Tolak | Tolak alur keluar ke internet. |
| 1010 | nama aturan | Apa pun | Apa pun | Apa pun | Apa pun | Tolak | Tolak semua alur keluar lainnya. |
Aturan keamanan keluar di portal Azure akan terlihat mirip dengan cuplikan layar berikut. Cuplikan layar disediakan sebagai contoh; lihat tabel untuk daftar lengkap aturan. Anda harus menyesuaikan alamat IP subnet/rentang CIDR dan pengaturan lainnya berdasarkan penyebaran Anda:
Langkah berikutnya
Untuk mempelajari selengkapnya tentang Azure Managed Lustre, lihat artikel berikut ini:
Untuk mempelajari selengkapnya tentang grup keamanan jaringan Azure, lihat artikel berikut ini: