Configurar um grupo de segurança de rede para sistemas de arquivos do Azure Managed Lustre
Os grupos de segurança de rede podem ser configurados para filtrar o tráfego de rede de entrada e saída de e para os recursos do Azure em uma rede virtual do Azure. Um grupo de segurança de rede pode conter regras de segurança que filtram o tráfego de rede por endereço IP, porta e protocolo. Quando um grupo de segurança de rede é associado a uma sub-rede, as regras de segurança são aplicadas aos recursos implantados nessa sub-rede.
Este artigo descreve como configurar regras de grupo de segurança de rede para proteger o acesso a um cluster de sistema de arquivos do Azure Managed Lustre como parte de uma estratégia de Zero Trust .
Pré-requisitos
- Uma subscrição do Azure. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
- Uma rede virtual com uma sub-rede configurada para permitir o suporte ao sistema de ficheiros Azure Managed Lustre. Para saber mais, consulte Pré-requisitos de rede.
- Um sistema de arquivos do Azure Managed Lustre implantado em sua assinatura do Azure. Para saber mais, consulte Criar um sistema de arquivos do Azure Managed Lustre.
Criar e configurar um grupo de segurança de rede
Pode utilizar um grupo de segurança de rede do Azure para filtrar o tráfego de rede entre os recursos do Azure numa rede virtual do Azure. Os grupos de segurança de rede contêm regras de segurança que permitem ou negam o tráfego de entrada ou de saída de e para vários tipos de recursos do Azure. Para cada regra, pode especificar a origem e o destino, a porta e o protocolo.
Para criar um grupo de segurança de rede no portal do Azure, siga estas etapas:
Na caixa de pesquisa na parte superior do portal, insira Grupo de segurança de rede. Selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione + Criar.
Na página Criar grupo de segurança de rede, na guia Noções básicas, insira ou selecione os seguintes valores:
Definição Ação Detalhes do projeto Subscrição Selecione a subscrição do Azure. Grupo de recursos Selecione um grupo de recursos existente ou crie um novo selecionando Criar novo. Este exemplo usa o grupo de recursos sample-rg . Detalhes da instância Nome do grupo de segurança de rede Introduza um nome para o grupo de segurança de rede que está a criar. País/Região Selecione a região desejada. 
Selecione Rever + criar.
Depois de ver a mensagem Validação aprovada , selecione Criar.
Associar o grupo de segurança de rede a uma sub-rede
Depois que o grupo de segurança de rede for criado, você poderá associá-lo à sub-rede exclusiva em sua rede virtual onde o sistema de arquivos Azure Managed Lustre existe. Para associar o grupo de segurança de rede a uma sub-rede usando o portal do Azure, siga estas etapas:
Na caixa de pesquisa na parte superior do portal, introduza Grupo de segurança de rede e selecione Grupos de segurança de rede nos resultados da pesquisa.
Selecione o nome do seu grupo de segurança de rede e, em seguida, selecione Sub-redes.
Para associar um grupo de segurança de rede à sub-rede, selecione + Associar e, em seguida, selecione a sua rede virtual e a sub-rede à qual pretende associar o grupo de segurança de rede. Selecione OK.
Configurar regras de grupo de segurança de rede
Para configurar regras de grupo de segurança de rede para suporte ao sistema de arquivos do Azure Managed Lustre, você pode adicionar regras de segurança de entrada e saída ao grupo de segurança de rede associado à sub-rede onde seu sistema de arquivos do Azure Managed Lustre está implantado. As seções a seguir descrevem como criar e configurar as regras de segurança de entrada e saída que permitem o suporte ao sistema de arquivos do Azure Managed Lustre.
Nota
As regras de segurança mostradas nesta seção são configuradas com base em uma implantação de teste do sistema de arquivos Azure Managed Lustre na região Leste dos EUA, com a integração do Armazenamento de Blob habilitada. Você precisará ajustar as regras com base em sua região de implantação, endereço IP de sub-rede de rede virtual e outras definições de configuração para o sistema de arquivos Azure Managed Lustre.
Criar regras de segurança de entrada
Você pode criar regras de segurança de entrada no portal do Azure. O exemplo a seguir mostra como criar e configurar uma nova regra de segurança de entrada:
- No portal do Azure, abra o recurso de grupo de segurança de rede que você criou na etapa anterior.
- Selecione Regras de segurança de entrada em Configurações.
- Selecione + Adicionar.
- No painel Adicionar regra de segurança de entrada, defina as configurações da regra e selecione Adicionar.
Adicione as seguintes regras de entrada ao grupo de segurança de rede:
| Prioridade | Nome | Porta(s) | Protocolo | Origem | Destino | Ação | Descrição |
|---|---|---|---|---|---|---|---|
| 110 | nome-regra | Qualquer | Qualquer | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | Permitir | Permita fluxos de protocolo ou porta entre hosts na sub-rede do sistema de arquivos do Azure Managed Lustre. Por exemplo, o sistema usa a porta TCP 22 (SSH) para implantação e configuração iniciais. |
| 111 | nome-regra | 988, 1019-1023 | TCP | Endereço IP/intervalo CIDR para a sub-rede do cliente Lustre | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | Permitir | Permita a comunicação entre a sub-rede do cliente Lustre e a sub-rede do sistema de arquivos do Azure Managed Lustre. Permite apenas as portas TCP 988 e 1019-1023 na origem e no destino. |
| 112 | nome-regra | Qualquer | TCP | AzureMonitor |
VirtualNetwork |
Permitir | Permita fluxos de entrada da marca de serviço AzureMonitor. Permitir apenas a porta de origem TCP 443. |
| 120 | nome-regra | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Negar todos os outros fluxos de entrada. |
As regras de segurança de entrada no portal do Azure devem ser semelhantes à captura de tela a seguir. Você deve ajustar o endereço IP da sub-rede/intervalo CIDR e outras configurações com base em sua implantação:
Criar regras de segurança de saída
Você pode criar regras de segurança de saída no portal do Azure. O exemplo a seguir mostra como criar e configurar uma nova regra de segurança de saída:
- No portal do Azure, abra o recurso de grupo de segurança de rede que você criou em uma etapa anterior.
- Selecione Regras de segurança de saída em Definições.
- Selecione + Adicionar.
- No painel Adicionar regra de segurança de saída, defina as configurações da regra e selecione Adicionar.
Adicione as seguintes regras de saída ao grupo de segurança de rede:
| Prioridade | Nome | Porta(s) | Protocolo | Origem | Destino | Ação | Descrição |
|---|---|---|---|---|---|---|---|
| 100 | nome-regra | 443 | TCP | VirtualNetwork |
AzureMonitor |
Permitir | Permitir fluxos de saída para a AzureMonitor etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 101 | nome-regra | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Permitir | Permitir fluxos de saída para a AzureKeyVault.EastUS etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 102 | nome-regra | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Permitir | Permitir fluxos de saída para a AzureActiveDirectory etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 103 | nome-regra | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Permitir | Permitir fluxos de saída para a Storage.EastUS etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 104 | nome-regra | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Permitir | Permite fluxos de saída para a GuestAndHybridManagement etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 105 | nome-regra | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Permitir | Permitir fluxos de saída para a ApiManagement.EastUS etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 106 | nome-regra | 443 | TCP | VirtualNetwork |
AzureDataLake |
Permitir | Permitir fluxos de saída para a AzureDataLake etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 107 | nome-regra | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Permitir | Permite fluxos de saída para a AzureResourceManager etiqueta de serviço. Apenas a porta de destino TCP 443. |
| 108 | nome-regra | 988, 1019-1023 | TCP | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | Endereço IP/intervalo CIDR para a sub-rede do cliente Lustre | Permitir | Permita fluxos de saída para o sistema de arquivos Azure Managed Lustre para o cliente Lustre. Permite apenas as portas TCP 988 e 1019-1023 na origem e no destino. |
| 109 | nome-regra | 123 | UDP | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | 168.61.215.74/32 | Permitir | Permitir fluxos de saída para o servidor MS NTP (168.61.215.74). Apenas a porta de destino UDP 123. |
| 110 | nome-regra | 443 | TCP | VirtualNetwork |
20.34.120.0/21 | Permitir | Permitir fluxos de saída para a telemetria do Azure Managed Lustre (20.45.120.0/21). Apenas a porta de destino TCP 443. |
| 111 | nome-regra | Qualquer | Qualquer | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | Endereço IP/intervalo CIDR para a sub-rede do sistema de arquivos Azure Managed Lustre | Permitir | Permita fluxos de protocolo ou porta entre hosts na sub-rede do sistema de arquivos do Azure Managed Lustre. Por exemplo, o sistema usa a porta TCP 22 (SSH) para implantação e configuração iniciais. |
| 1000 | nome-regra | Qualquer | Qualquer | VirtualNetwork |
Internet |
Negar | Negar fluxos de saída para a internet. |
| 1010 | nome-regra | Qualquer | Qualquer | Qualquer | Qualquer | Negar | Negar todos os outros fluxos de saída. |
As regras de segurança de saída no portal do Azure devem ser semelhantes à captura de tela a seguir. Você deve ajustar o endereço IP da sub-rede/intervalo CIDR e outras configurações com base em sua implantação:
Próximos passos
Para saber mais sobre o Azure Managed Lustre, consulte os seguintes artigos:
Para saber mais sobre os grupos de segurança de rede do Azure, consulte os seguintes artigos: