Configurar as definições de rede de máquina virtual do Azure

  • 5 minutos

Instalámos o nosso software personalizado, configurámos um servidor FTP e configurámos a VM de modo a receber os nossos ficheiros de vídeo. No entanto, se tentarmos ligar ao nosso endereço IP público com FTP, veremos que está bloqueado.

O processo de ajustar a configuração do servidor é normalmente efetuado com equipamentos no seu ambiente no local. Neste sentido, pode considerar as VMs do Azure como sendo uma extensão desse ambiente. Pode fazer alterações à configuração, gerir redes, abrir ou bloquear tráfego e muito mais através as ferramentas portal do Azure, da CLI do Azure ou do Azure PowerShell.

Já viu algumas opções básicas de gestão e informação no painel Descrição geral da máquina virtual. Vamos explorar um pouco mais a configuração de rede.

Abrir portas em VMs do Azure

Por predefinição, as novas VMs são bloqueadas.

Os aplicativos podem fazer solicitações de saída, mas o único tráfego de entrada permitido é da rede virtual (por exemplo, outros recursos na mesma rede local) e do Balanceador de Carga do Azure (verificações de teste).

Existem dois passos para ajustar a configuração para suportar FTP. Ao criar uma nova VM, tem a oportunidade de abrir algumas portas comuns (RDP, HTTP, HTTPS e SSH). No entanto, se você precisar de outras alterações no firewall, você precisará fazê-las você mesmo.

Este processo consiste em dois passos:

  1. Criar um Grupo de Segurança de Rede.
  2. Criar uma regra de entrada que permita tráfego nas portas 20 e 21 para suporte FTP ativo.

O que é um Grupo de Segurança de Rede?

As redes virtuais (VNets) são a base do modelo de rede do Azure e fornecem isolamento e proteção. Os Grupos de Segurança de Rede (NSGs) são a principal ferramenta utilizada para impor e controlar as regras de tráfego de rede no nível de rede. Os NSGs são uma camada de segurança opcional que fornece uma firewall de software ao filtrar tráfego de entrada e saída na VNet.

Os grupos de segurança podem ser associados a uma interface de rede (para regras por anfitrião), uma sub-rede na rede virtual (para aplicar a múltiplos registos) ou ambos os níveis.

Regras de grupos de segurança

Os NSGs recorrem a regras para permitir ou negar a passagem de tráfego pela rede. Cada regra identifica o endereço de origem e destino (ou intervalo), protocolo, porta (ou intervalo), direção (entrada ou saída), uma prioridade numérica e se o tráfego correspondente a essa regra deve ser permitido ou negado. A ilustração a seguir mostra as regras NSG aplicadas nos níveis de sub-rede e interface de rede.

Ilustração mostrando a arquitetura de grupos de segurança de rede em duas sub-redes diferentes. Em uma sub-rede, há duas máquinas virtuais, cada uma com suas próprias regras de interface de rede. A sub-rede em si tem um conjunto de regras que se aplica a ambas as máquinas virtuais.

Cada grupo de segurança tem um conjunto de regras de segurança padrão para aplicar as regras de rede padrão descritas na passagem anterior. Não é possível modificar essas regras padrão, mas substituí-las .

Como o Azure utiliza regras de rede

Para tráfego de entrada, o Azure processa o grupo de segurança associado à sub-rede e depois o grupo de segurança aplicado à interface de rede. O tráfego de saída é processado na ordem oposta (primeiro a interface de rede, depois a sub-rede).

Aviso

Tenha em conta que os grupos de segurança são opcionais em ambos os níveis. Caso nenhum grupo de segurança seja aplicado, todo o tráfego será permitido pelo Azure. Se a VM tiver um IP público, isso pode ser um sério risco, especialmente se o sistema operacional não fornecer algum tipo de firewall.

As regras são avaliadas por ordem de prioridade, a começar pela regra de prioridade mais baixa. As regras de negação param sempre a avaliação. Por exemplo, se um pedido de saída for bloqueado por uma regra de interface de rede, as regras aplicadas à sub-rede não serão verificadas. Para que o tráfego seja permitido no grupo de segurança, este terá de passar por todos os grupos aplicados.

A última regra é sempre uma regra Negar Tudo. Trata-se de uma regra predefinida adicionada a todos os grupos de segurança, tanto para tráfego de entrada como de saída, com uma prioridade de 65 500. Isso significa que, para que o tráfego passe pelo grupo de segurança, você deve ter uma regra de permissão ou a regra final padrão a bloqueará. Saiba mais sobre as regras de segurança.

Nota

O SMTP (porta 25) é um caso especial. Dependendo do seu nível de subscrição e de quando a sua conta foi criada, o tráfego SMTP de saída poderá estar bloqueado. Pode fazer um pedido para remover esta restrição com uma justificação comercial.