Samouczek: filtrowanie ruchu sieciowego za pomocą sieciowej grupy zabezpieczeń
Artykuł
Sieciową grupę zabezpieczeń można używać do filtrowania przychodzącego i wychodzącego ruchu sieciowego do i z zasobów platformy Azure w sieci wirtualnej platformy Azure.
Sieciowe grupy zabezpieczeń zawierają reguły zabezpieczeń, które filtrują ruch sieciowy według adresów IP, portów i protokołów. Gdy sieciowa grupa zabezpieczeń jest skojarzona z podsiecią, reguły zabezpieczeń są stosowane do zasobów wdrożonych w tej podsieci.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
Tworzenie sieciowej grupy zabezpieczeń i reguł zabezpieczeń
Tworzenie grup zabezpieczeń aplikacji
Tworzenie sieci wirtualnej i kojarzenie sieciowej grupy zabezpieczeń z podsiecią
Wdrażanie maszyn wirtualnych i kojarzenie ich interfejsów sieciowych z grupami zabezpieczeń aplikacji
Konto platformy Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.
Konto platformy Azure z aktywną subskrypcją. Możesz bezpłatnie utworzyć konto.
Azure Cloud Shell
Na platforma Azure hostowane jest Azure Cloud Shell, interaktywne środowisko powłoki, z którego można korzystać w przeglądarce. Do pracy z usługami platformy Azure można używać programu Bash lub PowerShell w środowisku Cloud Shell. Aby uruchomić kod w tym artykule, możesz użyć wstępnie zainstalowanych poleceń usługi Cloud Shell bez konieczności instalowania niczego w środowisku lokalnym.
Aby uruchomić środowisko Azure Cloud Shell:
Opcja
Przykład/link
Wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu lub polecenia. Wybranie pozycji Wypróbuj nie powoduje automatycznego skopiowania kodu lub polecenia do usługi Cloud Shell.
Przejdź do witryny https://shell.azure.com lub wybierz przycisk Uruchom Cloud Shell, aby otworzyć środowisko Cloud Shell w przeglądarce.
Wybierz przycisk Cloud Shell na pasku menu w prawym górnym rogu witryny Azure Portal.
Aby użyć usługi Azure Cloud Shell:
Uruchom usługę Cloud Shell.
Wybierz przycisk Kopiuj w bloku kodu (lub bloku poleceń), aby skopiować kod lub polecenie.
Wklej kod lub polecenie do sesji usługi Cloud Shell, wybierając Ctrl+Shift V w systemach Windows i Linux lub wybierając pozycję Cmd+Shift++V w systemie macOS.
Wybierz Enter, aby uruchomić kod lub polecenie.
Jeśli zdecydujesz się zainstalować program PowerShell i korzystać z niego lokalnie, ten artykuł wymaga modułu Azure PowerShell w wersji 1.0.0 lub nowszej. Uruchom polecenie Get-Module -ListAvailable Az, aby dowiedzieć się, jaka wersja jest zainstalowana. Jeśli konieczne będzie uaktualnienie, zobacz Instalowanie modułu Azure PowerShell. Jeśli używasz programu PowerShell lokalnie, musisz też uruchomić polecenie Connect-AzAccount, aby utworzyć połączenie z platformą Azure.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie interfejsu wiersza polecenia platformy Azure w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić interfejs wiersza polecenia platformy Azure w kontenerze platformy Docker.
Jeśli korzystasz z instalacji lokalnej, zaloguj się do interfejsu wiersza polecenia platformy Azure za pomocą polecenia az login. Aby ukończyć proces uwierzytelniania, wykonaj kroki wyświetlane w terminalu. Aby uzyskać inne opcje logowania, zobacz Logowanie się przy użyciu interfejsu wiersza polecenia platformy Azure.
Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
Ten artykuł wymaga wersji 2.0.28 lub nowszej interfejsu wiersza polecenia platformy Azure. W przypadku korzystania z usługi Azure Cloud Shell najnowsza wersja jest już zainstalowana.
Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów.
W portalu wyszukaj i wybierz pozycję Sieci wirtualne.
Na stronie Sieci wirtualne wybierz pozycję + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie
Wartość
Szczegóły projektu
Subskrypcja
Wybierz subskrypcję.
Grupa zasobów
Wybierz pozycjęUtwórz nowy. Wprowadź ciąg test-rg w polu Nazwa. Wybierz przycisk OK.
Szczegóły wystąpienia
Nazwisko
Wprowadź wartość vnet-1.
Region (Region)
Wybierz pozycję East US 2 (Wschodnie stany USA 2).
Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.
W okienku Edytowanie podsieci wprowadź lub wybierz następujące informacje:
Ustawienie
Wartość
Szczegóły podsieci
Szablon podsieci
Pozostaw wartość domyślną jako Domyślna.
Nazwisko
Wprowadź podsieć-1.
Adres początkowy
Pozostaw wartość domyślną 10.0.0.0.
Rozmiar podsieci
Pozostaw wartość domyślną /24(256 adresów).
Wybierz pozycję Zapisz.
Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu. Po zakończeniu walidacji wybierz pozycję Utwórz.
Najpierw utwórz grupę zasobów dla wszystkich zasobów utworzonych w tym artykule za pomocą polecenia New-AzResourceGroup. Poniższy przykład tworzy grupę zasobów w lokalizacji westus2 :
Utwórz konfigurację podsieci za pomocą polecenia New-AzVirtualNetworkSubnetConfig, a następnie zapisz konfigurację podsieci w sieci wirtualnej za pomocą polecenia Set-AzVirtualNetwork. Poniższy przykład dodaje do sieci wirtualnej podsieć o nazwie subnet-1 i kojarzy z nią sieciową grupę zabezpieczeń nsg-1 :
Najpierw utwórz grupę zasobów dla wszystkich zasobów utworzonych w tym artykule za pomocą polecenia az group create. Poniższy przykład tworzy grupę zasobów w lokalizacji westus2 :
az group create \
--name test-rg \
--location westus2
Utwórz sieć wirtualną za pomocą polecenia az network vnet create. Poniższy przykład tworzy wirtualną o nazwie vnet-1:
Dodaj podsieć do sieci wirtualnej za pomocą polecenia az network vnet subnet create. Poniższy przykład dodaje do sieci wirtualnej podsieć o nazwie subnet-1 i kojarzy z nią sieciową grupę zabezpieczeń nsg-1 :
W polu wyszukiwania w górnej części portalu wprowadź ciąg Grupa zabezpieczeń aplikacji. Wybierz pozycję Grupy zabezpieczeń aplikacji w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy tworzenia grupy zabezpieczeń aplikacji wprowadź lub wybierz następujące informacje:
Ustawienie
Wartość
Szczegóły projektu
Subskrypcja
Wybierz subskrypcję.
Grupa zasobów
Wybierz pozycję test-rg.
Szczegóły wystąpienia
Nazwisko
Wprowadź ciąg asg-web.
Region (Region)
Wybierz pozycję East US 2 (Wschodnie stany USA 2).
Wybierz pozycję East US 2 (Wschodnie stany USA 2).
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Utwórz grupę zabezpieczeń aplikacji za pomocą polecenia New-AzApplicationSecurityGroup. Grupa zabezpieczeń aplikacji umożliwia grupowanie serwerów o podobnych wymaganiach w zakresie filtrowania portów. Poniższy przykład tworzy dwie grupy zabezpieczeń aplikacji.
Utwórz grupę zabezpieczeń aplikacji za pomocą polecenia az network asg create. Grupa zabezpieczeń aplikacji umożliwia grupowanie serwerów o podobnych wymaganiach w zakresie filtrowania portów. Poniższy przykład tworzy dwie grupy zabezpieczeń aplikacji.
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Uwaga
W wynikach wyszukiwania dla sieciowych grup zabezpieczeń mogą być widoczne sieciowe grupy zabezpieczeń (klasyczne). Wybierz pozycję Sieciowe grupy zabezpieczeń.
Wybierz + Utwórz.
Na karcie Podstawowe informacje w obszarze Tworzenie sieciowej grupy zabezpieczeń wprowadź lub wybierz następujące informacje:
Ustawienie
Wartość
Szczegóły projektu
Subskrypcja
Wybierz subskrypcję.
Grupa zasobów
Wybierz pozycję test-rg.
Szczegóły wystąpienia
Nazwisko
Wprowadź ciąg nsg-1.
Lokalizacja
Wybierz pozycję East US 2 (Wschodnie stany USA 2).
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Utwórz sieciową grupę zabezpieczeń przy użyciu polecenia New-AzNetworkSecurityGroup. Poniższy przykład tworzy sieciową grupę zabezpieczeń o nazwie nsg-1:
W polu wyszukiwania w górnej części portalu wprowadź wartość Sieciowa grupa zabezpieczeń. Wybierz pozycję Sieciowe grupy zabezpieczeń w wynikach wyszukiwania.
Wybierz pozycję nsg-1.
Wybierz pozycję Podsieci w sekcji Ustawienia sieciowej grupy zabezpieczeń-1.
Na stronie Podsieci wybierz pozycję + Skojarz:
W obszarze Skojarz podsieć wybierz pozycję vnet-1 (test-rg) dla pozycji Sieć wirtualna.
Wybierz podsieć-1 dla podsieci, a następnie wybierz przycisk OK.
Użyj polecenia Get-AzVirtualNetwork , aby pobrać obiekt sieci wirtualnej, a następnie użyj polecenia Set-AzVirtualNetworkSubnetConfig , aby skojarzyć sieciową grupę zabezpieczeń z podsiecią. Poniższy przykład pobiera obiekt sieci wirtualnej i aktualizuje konfigurację podsieci w celu skojarzenia sieciowej grupy zabezpieczeń:
# Retrieve the virtual network
$vnet = Get-AzVirtualNetwork -Name "vnet-1" -ResourceGroupName "test-rg"
# Update the subnet configuration to associate the network security group
$subnetConfigParams = @{
VirtualNetwork = $vnet
Name = "subnet-1"
AddressPrefix = $vnet.Subnets[0].AddressPrefix
NetworkSecurityGroup = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams
# Update the virtual network with the new subnet configuration
$vnet | Set-AzVirtualNetwork
Użyj polecenia az network vnet subnet update , aby skojarzyć sieciowa grupa zabezpieczeń z podsiecią. Poniższy przykład kojarzy sieciową grupę zabezpieczeń nsg-1 z podsiecią subnet-1 :
Wybierz pozycję Reguły zabezpieczeń dla ruchu przychodzącego w sekcji Ustawienia sieciowej grupy zabezpieczeń-1.
Na stronie Reguły zabezpieczeń dla ruchu przychodzącego wybierz pozycję + Dodaj.
Utwórz regułę zabezpieczeń zezwalającą portom 80 i 443 na grupę zabezpieczeń aplikacji asg-web . Na stronie Dodawanie reguły zabezpieczeń dla ruchu przychodzącego wprowadź lub wybierz następujące informacje:
W tym artykule protokół RDP (port 3389) jest uwidoczniony w Internecie dla maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji asg-mgmt .
W przypadku środowisk produkcyjnych, zamiast uwidaczniać port 3389 w Internecie, zaleca się nawiązanie połączenia z zasobami platformy Azure, którymi chcesz zarządzać przy użyciu sieci VPN, prywatnego połączenia sieciowego lub usługi Azure Bastion.
Utwórz regułę zabezpieczeń za pomocą polecenia New-AzNetworkSecurityRuleConfig. Poniższy przykład tworzy regułę zezwalającą na ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji asg-web przez porty 80 i 443:
Użyj polecenia Get-AzNetworkSecurityGroup , aby pobrać istniejącą sieciową grupę zabezpieczeń, a następnie dodaj nowe reguły z operatorem += . Na koniec zaktualizuj sieciową grupę zabezpieczeń za pomocą polecenia Set-AzNetworkSecurityGroup:
# Retrieve the existing network security group
$nsg = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"
# Add the new rules to the security group
$nsg.SecurityRules += $webRule
$nsg.SecurityRules += $mgmtRule
# Update the network security group with the new rules
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg
Przestroga
W tym artykule protokół RDP (port 3389) jest uwidoczniony w Internecie dla maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji asg-mgmt .
W przypadku środowisk produkcyjnych, zamiast uwidaczniać port 3389 w Internecie, zaleca się nawiązanie połączenia z zasobami platformy Azure, którymi chcesz zarządzać przy użyciu sieci VPN, prywatnego połączenia sieciowego lub usługi Azure Bastion.
Utwórz regułę zabezpieczeń za pomocą polecenia az network nsg rule create. Poniższy przykład tworzy regułę zezwalającą na ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji asg-web przez porty 80 i 443:
W tym artykule protokół SSH (port 22) jest uwidoczniony w Internecie dla maszyny wirtualnej przypisanej do grupy zabezpieczeń aplikacji asg-mgmt .
W przypadku środowisk produkcyjnych, zamiast uwidaczniać port 22 w Internecie, zaleca się nawiązanie połączenia z zasobami platformy Azure, którymi chcesz zarządzać przy użyciu sieci VPN, prywatnego połączenia sieciowego lub usługi Azure Bastion.
Utwórz dwa interfejsy sieciowe za pomocą polecenia New-AzNetworkInterface i przypisz publiczny adres IP do interfejsu sieciowego. Poniższy przykład tworzy interfejs sieciowy, kojarzy z nim publiczny adres IP-ip-vm-web .
Utwórz dwie maszyny wirtualne w sieci wirtualnej, aby umożliwić weryfikację filtrowania ruchu w kolejnym kroku.
Utwórz konfigurację maszyny wirtualnej za pomocą polecenia New-AzVMConfig, a następnie utwórz maszynę wirtualną za pomocą polecenia New-AzVM. Poniższy przykład tworzy maszynę wirtualną, która służy jako serwer internetowy. Opcja -AsJob tworzy maszynę wirtualną w tle, dzięki czemu można przejść do następnego kroku:
Tworzenie maszyny wirtualnej zajmuje kilka minut. Nie przechodź do następnego kroku, dopóki platforma Azure nie ukończy tworzenia maszyny wirtualnej.
Utwórz dwie maszyny wirtualne w sieci wirtualnej, aby umożliwić weryfikację filtrowania ruchu w kolejnym kroku.
Utwórz maszynę wirtualną za pomocą polecenia az vm create. Poniższy przykład tworzy maszynę wirtualną, która służy jako serwer internetowy. Określono --nsg "" opcję uniemożliwiającą platformie Azure utworzenie domyślnej sieciowej grupy zabezpieczeń dla interfejsu sieciowego tworzonego przez platformę Azure podczas tworzenia maszyny wirtualnej. Polecenie wyświetla monit o utworzenie hasła dla maszyny wirtualnej. Klucze SSH nie są używane w tym przykładzie, aby ułatwić późniejsze kroki opisane w tym artykule. W środowisku produkcyjnym użyj kluczy SSH na potrzeby zabezpieczeń.
W ciągu kilku minut zostanie utworzona maszyna wirtualna. Po utworzeniu maszyny wirtualnej zwracane są dane wyjściowe podobne do następującego przykładu:
Utwórz maszynę wirtualną za pomocą polecenia az vm create. Poniższy przykład tworzy maszynę wirtualną, która służy jako serwer zarządzania.
Poniższy przykład tworzy maszynę wirtualną i dodaje konto użytkownika. Parametr --generate-ssh-keys powoduje, że interfejs wiersza polecenia szuka dostępnego klucza SSH w pliku ~/.ssh. Jeśli zostanie znaleziony, zostanie użyty ten klucz. Jeśli tak nie jest, jest generowany i przechowywany w pliku ~/.ssh. Na koniec wdrożymy najnowszy Ubuntu 22.04 obraz.
W ciągu kilku minut zostanie utworzona maszyna wirtualna. Nie przechodź do następnego kroku, dopóki platforma Azure nie ukończy tworzenia maszyny wirtualnej.
Kojarzenie interfejsów sieciowych z grupą zabezpieczeń aplikacji
Po utworzeniu maszyn wirtualnych platforma Azure utworzyła interfejs sieciowy dla każdej maszyny wirtualnej i dołączyła ją do maszyny wirtualnej.
Dodaj interfejs sieciowy każdej maszyny wirtualnej do jednej z utworzonych wcześniej grup zabezpieczeń aplikacji:
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania, a następnie wybierz pozycję vm-web.
Wybierz pozycję Grupy zabezpieczeń aplikacji w sekcji Sieć w sieci vm-web.
Wybierz pozycję Dodaj grupy zabezpieczeń aplikacji, a następnie na karcie Dodaj grupy zabezpieczeń aplikacji wybierz pozycję asg-web. Na koniec wybierz pozycję Dodaj.
Powtórz poprzednie kroki dla narzędzia vm-mgmt, wybierając pozycję asg-mgmt na karcie Dodawanie grup zabezpieczeń aplikacji.
Użyj polecenia Get-AzNetworkInterface , aby pobrać interfejs sieciowy maszyny wirtualnej, a następnie pobierz grupę zabezpieczeń aplikacji za pomocą polecenia Get-AzApplicationSecurityGroup . Na koniec użyj polecenia Set-AzNetworkInterface , aby skojarzyć grupę zabezpieczeń aplikacji z interfejsem sieciowym. Poniższy przykład kojarzy grupę zabezpieczeń aplikacji asg-web z interfejsem sieciowym vm-web-nic:
Użyj polecenia az network nic update , aby skojarzyć interfejs sieciowy z grupą zabezpieczeń aplikacji. Poniższy przykład kojarzy grupę zabezpieczeń aplikacji asg-web z interfejsem sieciowym vm-web-nic:
# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-web --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)
# Associate the application security group with the network interface
az network nic ip-config update \
--name ipconfigvm-web \
--nic-name $nic_name \
--resource-group test-rg \
--application-security-groups asg-web
Powtórz polecenie, aby skojarzyć grupę zabezpieczeń aplikacji asg-mgmt z interfejsem sieciowym vm-mgmt-nic .
# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-mgmt --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)
# Associate the application security group with the network interface
az network nic ip-config update \
--name ipconfigvm-mgmt \
--nic-name $nic_name \
--resource-group test-rg \
--application-security-groups asg-mgmt
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-mgmt.
Na stronie Przegląd wybierz przycisk Połącz, a następnie wybierz pozycję Natywny protokół RDP.
Wybierz pozycję Pobierz plik RDP.
Otwórz pobrany plik RDP i wybierz opcję Połącz. Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej.
Wybierz przycisk OK.
Podczas procesu połączenia może zostać wyświetlone ostrzeżenie o certyfikacie. Jeśli zostanie wyświetlone ostrzeżenie, wybierz pozycję Tak lub Kontynuuj, aby kontynuować połączenie.
Połączenie powiedzie się, ponieważ ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji asg-mgmt jest dozwolony przez port 3389.
Interfejs sieciowy maszyny wirtualnej vm-mgmt jest skojarzony z grupą zabezpieczeń aplikacji asg-mgmt i zezwala na połączenie.
Otwórz sesję programu PowerShell na maszynie wirtualnej vm-mgmt. Nawiąż połączenie z maszyną wirtualną w Sieci Web , korzystając z następujących elementów:
mstsc /v:vm-web
Połączenie RDP z vm-mgmt z maszyny wirtualnej do sieci web powiedzie się, ponieważ maszyny wirtualne w tej samej sieci mogą domyślnie komunikować się ze sobą za pośrednictwem dowolnego portu.
Nie można utworzyć połączenia RDP z maszyną wirtualną vm-web z Internetu. Reguła zabezpieczeń dla aplikacji asg-web uniemożliwia nawiązywanie połączeń z portem 3389 przychodzącym z Internetu. Ruch przychodzący z Internetu jest domyślnie blokowany do wszystkich zasobów.
Aby zainstalować usługi Microsoft IIS na maszynie wirtualnej vm-web , wprowadź następujące polecenie z sesji programu PowerShell na maszynie wirtualnej vm-web :
Po zakończeniu instalacji usług IIS odłącz się od maszyny wirtualnej vm-web , która pozostawia cię w połączeniu pulpitu zdalnego maszyny wirtualnej vm-mgmt .
Odłącz się od maszyny wirtualnej vm-mgmt .
Wyszukaj ciąg vm-web w polu wyszukiwania portalu.
Na stronie Przegląd maszyny wirtualnej vm-web zanotuj publiczny adres IP maszyny wirtualnej. Adres pokazany w poniższym przykładzie to 203.0.113.103. Twój adres jest inny:
Aby potwierdzić, że możesz uzyskać dostęp do serwera internetowego vm-web z Internetu, otwórz przeglądarkę internetową na komputerze i przejdź do http://<public-ip-address-from-previous-step>adresu .
Zostanie wyświetlona domyślna strona usług IIS, ponieważ ruch przychodzący z Internetu do grupy zabezpieczeń aplikacji asg-web jest dozwolony za pośrednictwem portu 80.
Interfejs sieciowy dołączony do sieci vm-web jest skojarzony z grupą zabezpieczeń aplikacji asg-web i zezwala na połączenie.
Użyj polecenia Get-AzPublicIpAddress, aby uzyskać publiczny adres IP maszyny wirtualnej. Poniższy przykład zwraca publiczny adres IP maszyny wirtualnej vm-mgmt :
Użyj następującego polecenia, aby utworzyć sesję pulpitu zdalnego z maszyną wirtualną vm-mgmt z komputera lokalnego.
mstsc /v:$publicIP
Wprowadź nazwę użytkownika i hasło określone podczas tworzenia maszyny wirtualnej (może być konieczne wybranie pozycji Więcej opcji, a następnie użyj innego konta, aby określić poświadczenia wprowadzone podczas tworzenia maszyny wirtualnej), a następnie wybierz przycisk OK. Podczas procesu logowania może pojawić się ostrzeżenie o certyfikacie. Wybierz pozycję Tak, aby nawiązać połączenie.
Połączenie powiedzie się. Port 3389 jest dozwolony dla ruchu przychodzącego z Internetu do grupy zabezpieczeń aplikacji asg-mgmt . Interfejs sieciowy dołączony do maszyny wirtualnej vm-mgmt znajduje się w tej grupie.
Użyj następującego polecenia, aby utworzyć połączenie pulpitu zdalnego z maszyną wirtualną internetową vm-web na maszynie wirtualnej vm-mgmt za pomocą następującego polecenia z poziomu programu PowerShell:
mstsc /v:vm-web
Połączenie powiedzie się, ponieważ domyślne reguły zabezpieczeń w każdej sieciowej grupie zabezpieczeń zezwalają na ruch na wszystkich portach pomiędzy wszystkimi adresami IP w sieci wirtualnej. Nie można utworzyć połączenia pulpitu zdalnego z maszyną wirtualną internetową z Internetu, ponieważ reguła zabezpieczeń dla aplikacji asg-web nie zezwala na ruch przychodzący z Internetu przez port 3389.
Użyj następującego polecenia, aby zainstalować usługi Microsoft IIS na maszynie wirtualnej wirtualnej sieci Web z poziomu programu PowerShell:
Po zakończeniu instalacji usług IIS odłącz się od maszyny wirtualnej vm-web , która pozostawi Cię w połączeniu pulpitu zdalnego maszyny wirtualnej vm-mgmt . Aby wyświetlić ekran powitalny usług IIS, otwórz przeglądarkę internetową i przejdź do http://vm-web.
Odłącz się od maszyny wirtualnej vm-mgmt .
Na komputerze wprowadź następujące polecenie z programu PowerShell, aby pobrać publiczny adres IP serwera vm-web :
Aby potwierdzić, że możesz uzyskać dostęp do serwera internetowego vm-web spoza platformy Azure, otwórz przeglądarkę internetową na komputerze i przejdź do http://<public-ip-address-from-previous-step>adresu . Połączenie powiedzie się. Port 80 jest dozwolony dla ruchu przychodzącego z Internetu do grupy zabezpieczeń aplikacji asg-web . Interfejs sieciowy dołączony do maszyny wirtualnej vm-web znajduje się w tej grupie.
Korzystając z wybranego klienta SSH, połącz się z utworzonymi wcześniej maszynami wirtualnymi. Na przykład następujące polecenie można użyć z poziomu interfejsu wiersza polecenia, takiego jak Podsystem Windows dla systemu Linux, aby utworzyć sesję SSH z maszyną wirtualną vm-mgmt. Możesz zalogować się do maszyn wirtualnych przy użyciu poświadczeń identyfikatora Entra firmy Microsoft lub użyć klucza SSH użytego do utworzenia maszyn wirtualnych. W poniższym przykładzie użyjemy klucza SSH, aby zalogować się do maszyny wirtualnej zarządzania, a następnie zalogować się do internetowej maszyny wirtualnej z maszyny wirtualnej zarządzania przy użyciu hasła.
Połączenie powiedzie się, ponieważ interfejs sieciowy dołączony do maszyny wirtualnej vm-mgmt znajduje się w grupie zabezpieczeń aplikacji asg-mgmt, która zezwala na ruch przychodzący z Internetu przez port 22.
Użyj następującego polecenia, aby za pomocą protokołu SSH połączyć się z maszyną wirtualną vm-web z maszyny wirtualnej vm-mgmt :
ssh -o StrictHostKeyChecking=no azureuser@vm-web
Połączenie powiedzie się, ponieważ domyślne reguły zabezpieczeń w każdej sieciowej grupie zabezpieczeń zezwalają na ruch na wszystkich portach pomiędzy wszystkimi adresami IP w sieci wirtualnej. Nie można połączyć protokołu SSH z maszyną wirtualną vm-web z Internetu, ponieważ reguła zabezpieczeń dla sieci Asg-Web nie zezwala na ruch przychodzący z Internetu przez port 22.
Użyj następujących poleceń, aby zainstalować serwer internetowy nginx na maszynie wirtualnej vm-web :
Maszyna wirtualna wirtualna sieci Web jest dozwolona dla ruchu wychodzącego do Internetu w celu pobrania serwera nginx, ponieważ domyślna reguła zabezpieczeń zezwala na cały ruch wychodzący do Internetu. Zamknij sesję SSH maszyny wirtualnej vm-web, która pozostawi Ci monit o maszynę wirtualną username@vm-mgmt:~$vm-mgmt. Aby pobrać ekran powitalny serwera nginx z maszyny wirtualnej vm-web , wprowadź następujące polecenie:
curl vm-web
Wyloguj się z maszyny wirtualnej vm-mgmt . Aby potwierdzić, że możesz uzyskać dostęp do serwera internetowego vm-web spoza platformy Azure, wprowadź curl <publicIpAddress> z własnego komputera. Połączenie powiedzie się, ponieważ grupa zabezpieczeń aplikacji asg-web , w której znajduje się interfejs sieciowy dołączony do maszyny wirtualnej vm-web , zezwala na ruch przychodzący z Internetu przez port 80.
Platforma Azure domyślnie kieruje ruch pomiędzy podsieciami. Zamiast tego możesz wybrać kierowanie ruchu między podsieciami za pośrednictwem maszyny wirtualnej, na przykład jako zapora.
Aby dowiedzieć się więcej o sposobie tworzenia tabeli tras, przejdź do następnego samouczka.