Configurar pontos finais numa máquina virtual do Windows utilizando o modelo de implementação clássico

Importante

Os VM clássicos serão retirados a 1 de março de 2023.

Se utilizar recursos iaaS da ASM, por favor preencha a sua migração até 1 de março de 2023. Encorajamo-lo a fazer a troca mais cedo para aproveitar as muitas melhorias de funcionalidades em Azure Resource Manager.

Para mais informações, consulte a Migração dos seus recursos iaaS para a Azure Resource Manager até 1 de março de 2023.

As máquinas virtuais do Windows (VMs) que cria no Azure utilizando o modelo de implementação clássico podem comunicar automaticamente através de um canal de rede privado com outros VMs no mesmo serviço de nuvem ou rede virtual. No entanto, os computadores na internet ou noutras redes virtuais requerem pontos finais para direcionar o tráfego da rede de entrada para um VM.

Também pode configurar pontos finais em máquinas virtuais Linux.

Importante

O Azure tem dois modelos de implementação para criar e trabalhar com recursos: Resource Manager e Clássico. Este artigo abrange o modelo de implementação clássica. A Microsoft recomenda que as implementações mais novas utilizem o modelo Resource Manager.

A partir de 15 de novembro de 2017, as máquinas virtuais só estarão disponíveis no portal do Azure.

No modelo de implantação Resource Manager, os pontos finais são configurados utilizando grupos de segurança de rede (NSGs). Para obter mais informações, consulte Permitir o acesso externo ao seu VM utilizando o portal do Azure.

Quando cria um VM do Windows no portal do Azure, os pontos finais comuns, como pontos finais para Desktop Remoto e Windows PowerShell Remoting, são normalmente criados para si automaticamente. Pode configurar pontos finais adicionais mais tarde, se necessário.

Cada ponto final tem um porto público e um porto privado:

• O porto público é utilizado pelo equilibrador de carga Azure para ouvir o tráfego de entrada na máquina virtual a partir da internet.
• A porta privada é utilizada pela máquina virtual para ouvir o tráfego de entrada, normalmente destinada a uma aplicação ou serviço em funcionamento na máquina virtual.

Os valores predefinidos para o protocolo IP e portas TCP ou UDP para protocolos de rede bem conhecidos são fornecidos quando cria pontos finais com o portal do Azure. Para pontos finais personalizados, especifique o protocolo IP correto (TCP ou UDP) e os portos públicos e privados. Para distribuir o tráfego de entrada aleatoriamente em várias máquinas virtuais, crie um conjunto equilibrado de carga composto por vários pontos finais.

Depois de criar um ponto final, pode utilizar uma lista de controlo de acesso (ACL) para definir regras que permitam ou neguem o tráfego de entrada para o porto público do ponto final com base no seu endereço IP de origem. No entanto, se a máquina virtual estiver numa rede virtual Azure, utilize grupos de segurança de rede. Para mais informações, consulte sobre os grupos de segurança da rede.

Nota

A configuração de firewall para máquinas virtuais Azure é feita automaticamente para portas associadas a pontos finais de conectividade remota que o Azure configura automaticamente. Para as portas especificadas para todos os outros pontos finais, nenhuma configuração é feita automaticamente para a firewall da máquina virtual. Quando criar um ponto final para a máquina virtual, certifique-se de que a firewall da máquina virtual também permite o tráfego do protocolo e da porta privada correspondente à configuração do ponto final. Para configurar a firewall, consulte a documentação ou ajuda on-line para o sistema operativo que funciona na máquina virtual.

Criar um ponto final

1. Inicie sessão no portal do Azure.

2. Selecione máquinas Virtuais e, em seguida, selecione a máquina virtual que pretende configurar.

3. Selecione Pontos de final no grupo Definições . Aparece a página Endpoints , que lista todos os pontos finais atuais para a máquina virtual. (Este exemplo é para um VM do Windows. Um Linux VM mostrará, por defeito, um ponto final para SSH.)

   

4. Na barra de comando acima das entradas do ponto final, selecione Add. Aparece a página 'Adicionar ponto final '.

5. Para nome, insira um nome para o ponto final.

6. Para Protocolo, escolha TCP ou UDP.

7. Para o porto público, insira o número do porto para o tráfego de entrada a partir da internet.

8. Para porta privada, introduza o número de porta no qual a máquina virtual está a ouvir. Os números dos portos públicos e privados podem ser diferentes. Certifique-se de que a firewall da máquina virtual foi configurada para permitir o tráfego correspondente ao protocolo e à porta privada.

9. Selecione OK.

O novo ponto final está listado na página Endpoints .

Gerir o ACL num ponto final

Para definir o conjunto de computadores que podem enviar tráfego, o ACL num ponto final pode restringir o tráfego com base no endereço IP de origem. Siga estes passos para adicionar, modificar ou remover um ACL num ponto final.

Nota

Se o ponto final fizer parte de um conjunto equilibrado de carga, quaisquer alterações que esboçar no ACL num ponto final são aplicadas a todos os pontos finais do conjunto.

Se a máquina virtual estiver numa rede virtual Azure, utilize grupos de segurança de rede em vez de ACLs. Para mais informações, consulte sobre os grupos de segurança da rede.

1. Inicie sessão no portal do Azure.

2. Selecione máquinas Virtuais e, em seguida, selecione o nome da máquina virtual que pretende configurar.

3. Selecione Pontos de final. A partir da lista de pontos finais, selecione o ponto final apropriado. A lista ACL está na parte inferior da página.

   

4. Utilize linhas na lista para adicionar, eliminar ou editar regras para um ACL e alterar a sua encomenda. O valor SUBNET REMOTO é um intervalo de endereço IP para o tráfego de entrada a partir da internet que o equilibrador de carga Azure utiliza para permitir ou negar o tráfego com base no seu endereço IP de origem. Certifique-se de especificar o intervalo de endereços IP no formato de encaminhamento inter-domínio (CIDR) sem classe, também conhecido como formato de prefixo de endereço. Por exemplo, 10.1.0.0/8.

Pode utilizar regras que permitam apenas tráfego de computadores específicos correspondentes aos seus computadores na internet ou para negar o tráfego de intervalos de endereços específicos e conhecidos.

As regras são avaliadas de forma a começar pela primeira regra e terminando com a última regra. Por conseguinte, as regras devem ser ordenadas de menos restritivas para as mais restritivas. Para mais informações, consulte O que é uma Lista de Controlo de Acesso de Rede.

Passos seguintes

• Para utilizar um Azure PowerShell cmdlet para configurar um ponto final VM, consulte Add-AzureEndpoint.
• Para utilizar um cmdlet Azure PowerShell para gerir um ACL num ponto final, consulte gerir as listas de controlo de acesso (ACLs) para pontos finais utilizando o PowerShell.
• Se criou uma máquina virtual no modelo de implementação Resource Manager, pode utilizar Azure PowerShell para criar grupos de segurança de rede para controlar o tráfego para o VM.