Netwerkbeveiligingsgroepen met Azure Site Recovery

Netwerkbeveiligingsgroepen worden gebruikt om netwerkverkeer te beperken tot resources in een virtueel netwerk. Een netwerkbeveiligingsgroep (NSG) bevat een lijst met beveiligingsregels die binnenkomend of uitgaand netwerkverkeer toestaan of weigeren op basis van bron- of doel-IP-adres, poort en protocol.

In het Resource Manager-implementatiemodel kunnen NSG's worden gekoppeld aan subnetten of afzonderlijke netwerkinterfaces. Wanneer een NSG is gekoppeld aan een subnet, zijn de regels van toepassing op alle resources die zijn verbonden met het subnet. Verkeer kan verder worden beperkt door ook een NSG te koppelen aan afzonderlijke netwerkinterfaces binnen een subnet dat al een gekoppelde NSG heeft.

In dit artikel wordt beschreven hoe u netwerkbeveiligingsgroepen kunt gebruiken met Azure Site Recovery.

Netwerkbeveiligingsgroepen gebruiken

Een afzonderlijk subnet kan nul of één gekoppelde NSG hebben. Een afzonderlijke netwerkinterface kan ook nul of één gekoppelde netwerkbeveiligingsgroep hebben. U kunt dus effectief dubbele verkeersbeperkingen voor een virtuele machine hebben door eerst een NSG te koppelen aan een subnet en vervolgens een andere NSG aan de netwerkinterface van de VIRTUELE machine. De toepassing van NSG-regels in dit geval is afhankelijk van de richting van het verkeer en de prioriteit van toegepaste beveiligingsregels.

Bekijk een eenvoudig voorbeeld met één virtuele machine als volgt:

• De virtuele machine wordt in het Contoso-subnet geplaatst.
• Contoso-subnet is gekoppeld aan subnet-NSG.
• De VM-netwerkinterface is ook gekoppeld aan VM NSG.

In dit voorbeeld wordt de NSG van het subnet eerst geëvalueerd voor inkomend verkeer. Verkeer dat is toegestaan via subnet-NSG wordt vervolgens geëvalueerd door VM NSG. Het omgekeerde is van toepassing op uitgaand verkeer, waarbij VM-NSG eerst wordt geëvalueerd. Verkeer dat is toegestaan via VM NSG wordt vervolgens geëvalueerd door subnet-NSG.

Hierdoor kan de toepassing voor gedetailleerde beveiligingsregels worden gebruikt. U wilt bijvoorbeeld binnenkomende internettoegang toestaan tot enkele toepassings-VM's (zoals front-end-VM's) onder een subnet, maar binnenkomende internettoegang beperken tot andere VM's (zoals database en andere back-end-VM's). In dit geval kunt u een soepelere regel voor de NSG van het subnet hebben, internetverkeer toestaan en de toegang tot specifieke VM's beperken door toegang te weigeren op VM-netwerkbeveiligingsgroep. Hetzelfde kan worden toegepast op uitgaand verkeer.

Bij het instellen van dergelijke NSG-configuraties moet u ervoor zorgen dat de juiste prioriteiten worden toegepast op de beveiligingsregels. Regels worden verwerkt in volgorde van prioriteit, waarbij lagere getallen worden verwerkt vóór hogere getallen omdat lagere getallen een hogere prioriteit hebben. Zodra het verkeer overeenkomt met een regel, wordt de verwerking beëindigd. Daardoor worden regels met een lagere prioriteit (een hoger getal) die dezelfde kenmerken hebben als regels met een hogere prioriteit, niet verwerkt.

U ben er mogelijk niet altijd van op de hoogte wanneer netwerkbeveiligingsgroepen worden toegepast op zowel een netwerkinterface als een subnet. U kunt de statistische regels controleren die zijn toegepast op een netwerkinterface door de effectieve beveiligingsregels voor een netwerkinterface weer te geven . U kunt ook de mogelijkheid voor IP-stroomverificatie in Azure Network Watcher gebruiken om te bepalen of communicatie naar of vanuit een netwerkinterface is toegestaan. Deze functie vertelt u of communicatie is toegestaan en welke netwerkbeveiligingsregel verkeer toestaat of weigert.

On-premises replicatie naar Azure met NSG

Met Azure Site Recovery kunt u herstel na noodgevallen en migratie naar Azure uitvoeren voor on-premises virtuele Hyper-V-machines, virtuele VMware-machines en fysieke servers. Voor alle on-premises naar Azure-scenario's worden replicatiegegevens verzonden naar en opgeslagen in een Azure Storage-account. Tijdens de replicatie betaalt u geen kosten voor virtuele machines. Wanneer u een failover naar Azure uitvoert, maakt Site Recovery automatisch virtuele Azure IaaS-machines.

Zodra vm's zijn gemaakt na een failover naar Azure, kunnen NSG's worden gebruikt om netwerkverkeer te beperken tot het virtuele netwerk en vm's. Site Recovery maakt geen NSG's als onderdeel van de failoverbewerking. U wordt aangeraden de vereiste Azure NSG's te maken voordat u een failover start. Vervolgens kunt u NSG's koppelen aan failover van VM's automatisch tijdens een failover, met behulp van automatiseringsscripts met de krachtige herstelplannen van Site Recovery.

Als de configuratie van de vm na failover bijvoorbeeld vergelijkbaar is met het voorbeeldscenario dat hierboven wordt beschreven:

• U kunt Contoso VNet en Contoso Subnet maken als onderdeel van dr-planning voor de Azure-doelregio.
• U kunt ook zowel subnet-NSG's als VM-NSG's maken en configureren als onderdeel van dezelfde dr-planning.
• Subnet-NSG kan vervolgens onmiddellijk worden gekoppeld aan Contoso Subnet, omdat zowel de NSG als het subnet al beschikbaar zijn.
• VM NSG kan worden gekoppeld aan VM's tijdens een failover met behulp van herstelplannen.

Zodra de NSG's zijn gemaakt en geconfigureerd, raden we u aan een testfailover uit te voeren om gescripte NSG-koppelingen en connectiviteit na failover-VM's te verifiëren.

Replicatie van Azure naar Azure met NSG

Azure Site Recovery maakt herstel na noodgevallen van virtuele Azure-machines mogelijk. Wanneer u replicatie inschakelt voor Virtuele Azure-machines, kan Site Recovery de virtuele replicanetwerken (inclusief subnetten en gatewaysubnetten) maken in de doelregio en de vereiste toewijzingen maken tussen de virtuele bron- en doelnetwerken. U kunt ook vooraf de doelnetwerken en subnetten maken en hetzelfde gebruiken terwijl u replicatie inschakelt. Site Recovery maakt geen VM's in de Azure-doelregio vóór de failover.

Voor replicatie van Azure-VM's moet u ervoor zorgen dat de NSG-regels in de Azure-bronregio uitgaande connectiviteit voor replicatieverkeer toestaan. U kunt deze vereiste regels ook testen en controleren via deze voorbeeld-NSG-configuratie.

Site Recovery maakt of repliceert geen NSG's als onderdeel van de failoverbewerking. U wordt aangeraden de vereiste NSG's te maken in de Azure-doelregio voordat u een failover start. Vervolgens kunt u NSG's koppelen aan failover van VM's automatisch tijdens een failover, met behulp van automatiseringsscripts met de krachtige herstelplannen van Site Recovery.

Gezien het voorbeeldscenario dat eerder is beschreven:

• Site Recovery kan replica's van Contoso VNet en Contoso-subnet maken in de Azure-doelregio wanneer replicatie is ingeschakeld voor de VIRTUELE machine.
• U kunt de gewenste replica's van subnet-NSG en VM-NSG (bijvoorbeeld doelsubnet-NSG en doel-VM NSG, respectievelijk) maken in de Azure-doelregio, zodat er aanvullende regels zijn vereist voor de doelregio.
• Doelsubnet-NSG kan vervolgens onmiddellijk worden gekoppeld aan het subnet van de doelregio, omdat zowel de NSG als het subnet al beschikbaar zijn.
• De NSG van de doel-VM kan tijdens een failover worden gekoppeld aan VM's met behulp van herstelplannen.

Zodra de NSG's zijn gemaakt en geconfigureerd, raden we u aan een testfailover uit te voeren om gescripte NSG-koppelingen en connectiviteit na failover-VM's te verifiëren.

Volgende stappen

• Meer informatie over Netwerkbeveiligingsgroepen.
• Meer informatie over NSG-beveiligingsregels.
• Meer informatie over effectieve beveiligingsregels voor een NSG.
• Meer informatie over herstelplannen voor het automatiseren van toepassingsfailover.