Создание, изменение и удаление группы безопасности сети

Правила безопасности в группах безопасности сети позволяют фильтровать различный сетевой трафик, который может проходить из подсетей виртуальной сети и сетевых интерфейсов или в них. Дополнительные сведения о группах безопасности сети см. в этой статье. Затем выполните инструкции из руководства по фильтрации сетевого трафика, чтобы получить опыт работы с группами безопасности сети.

Предварительные требования

Если у вас нет учетной записи Azure с активной подпиской, создайте учетную запись бесплатно. Прежде чем перейти к оставшейся части этой статьи, выполните одну из следующих задач:

• Пользователи портала. Войдите на портал Azure с помощью своей учетной записи Azure.

• Пользователи PowerShell. Выполните команды в Cloud Shell Azure или запустите PowerShell локально с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью. На вкладке обозревателя Azure Cloud Shell найдите раскрывающийся список Выбор среды, а затем выберите PowerShell, если этот пункт еще не выбран.

  Если вы используете PowerShell в локальной среде, используйте модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az.Network, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью об установке модуля Azure PowerShell. Запустите Connect-AzAccount для входа Azure.

• Пользователи Azure CLI. Выполните команды в Cloud Shell Azure или запустите Azure CLI локально с компьютера. Azure Cloud Shell — это бесплатная интерактивная оболочка, с помощью которой можно выполнять действия, описанные в этой статье. Она включает предварительно установленные общие инструменты Azure и настроена для использования с вашей учетной записью. На вкладке браузера Azure Cloud Shell найдите раскрывающийся список Выбрать среду, а затем выберите Bash, если она еще не выбрана.

  Если вы используете Azure CLI локально, используйте Azure CLI версии 2.0.28 или более поздней. Выполните командлет az --version, чтобы узнать установленную версию. Если вам необходимо выполнить установку или обновление, см. статью Установка Azure CLI 2.0. Запустите az login для входа Azure.

Учетной записи, в которую вы входите или с помощью которой подключаетесь к Azure, должна быть назначена роль Участник сетей или настраиваемая роль, которой назначены соответствующие действия, перечисленные в таблице Разрешения.

Работа с группами безопасности сети

Можно создать группу безопасности сети, просмотреть все группы, просмотреть сведения о группе, а также изменить или удалить группу безопасности сети. Вы также можете связать группу безопасности сети с сетевым интерфейсом или подсетью или отменить связь с ней.

Создайте группу безопасности сети

Существует ограничение на количество групп безопасности сети, которые можно создать для каждого региона и подписки Azure. Узнайте о лимитах, квотах и ограничениях подписок и служб Azure.

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите + Создать.

3. На странице Создание группы безопасности сети на вкладке Основные сведения введите или выберите следующие значения:

   Параметр	Действие
   Сведения о проекте
   Подписка	Выберите подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую, нажав кнопку Создать. В этом примере используется группа ресурсов myResourceGroup .
   Сведения об экземпляре
   Имя группы безопасности сети	Введите имя создаваемой группы безопасности сети.
   Регион	Выберите нужный регион.

   

4. Выберите Review + create (Просмотреть и создать).

5. При появлении сообщения Проверка пройдена выберите Создать.

PowerShell

Используйте Командлет New-AzNetworkSecurityGroup , чтобы создать группу безопасности сети с именем myNSG в регионе "Восточная часть США ". myNSG создается в существующей группе ресурсов myResourceGroup .

New-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup  -Location  eastus

Azure CLI

Используйте команду az network nsg create , чтобы создать группу безопасности сети с именем myNSG в существующей группе ресурсов myResourceGroup .

az network nsg create --resource-group MyResourceGroup --name myNSG

Просмотр всех групп безопасности сети

Портал

В поле поиска в верхней части портала введите Группа безопасности сети. Выберите Группы безопасности сети в результатах поиска, чтобы просмотреть список групп безопасности сети в подписке.

PowerShell

Используйте Командлет Get-AzNetworkSecurityGroup , чтобы получить список всех групп безопасности сети в подписке.

Get-AzNetworkSecurityGroup | format-table Name, Location, ResourceGroupName, ProvisioningState, ResourceGuid

Azure CLI

Используйте команду az network nsg list , чтобы получить список всех групп безопасности сети в подписке.

az network nsg list --out table

Просмотр сведений о группе безопасности сети

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите имя своей группы безопасности сети.

В разделе Параметры можно просмотреть правила безопасности для входящего трафика, правила безопасности для исходящего трафика, сетевые интерфейсы и подсети , с которыми связана группа безопасности сети.

В разделе Мониторинг можно включить или отключить параметры диагностики. Дополнительные сведения см. в статье Ведение журнала ресурсов для группы безопасности сети.

В разделе Справка можно просмотреть действующие правила безопасности. Дополнительные сведения см. в разделе Диагностика проблемы с фильтрацией трафика на виртуальной машине.

Дополнительные сведения о перечисленных общих параметрах Azure доступны в следующих статьях:

• Журнал действий
• Управление доступом (IAM)
• Теги
• Блокировки
• Сценарий автоматизации

PowerShell

Используйте Командлет Get-AzNetworkSecurityGroup для просмотра сведений о группе безопасности сети.

Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Дополнительные сведения о перечисленных общих параметрах Azure доступны в следующих статьях:

• Журнал действий
• Управление доступом (IAM)
• Теги
• Блокировки

Azure CLI

Используйте команду az network nsg show , чтобы просмотреть сведения о группе безопасности сети.

az network nsg show --resource-group myResourceGroup --name myNSG

Дополнительные сведения о перечисленных общих параметрах Azure доступны в следующих статьях:

• Журнал действий
• Управление доступом (IAM)
• Теги
• Блокировки

Изменение группы безопасности сети

Наиболее распространенные изменения в группе безопасности сети:

• Связывание или отмена связи группы безопасности сети с сетевым интерфейсом
• Связывание или отмена связи группы безопасности сети с подсетью или из нее
• Создание правила безопасности
• Удаление правила безопасности

Связывание или отмена связи группы безопасности сети с сетевым интерфейсом

Чтобы создать или удалить связь группы безопасности сети с сетевым интерфейсом, ознакомьтесь с разделом Создание, изменение и удаление группы безопасности сети.

Связывание или отмена связи группы безопасности сети с подсетью или из нее

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, а затем выберите Подсети.

Чтобы связать группу безопасности сети с подсетью, выберите + Связать, а затем выберите виртуальную сеть и подсеть, с которой нужно связать группу безопасности сети. Щелкните ОК.

Чтобы отменить связь группы безопасности сети с подсетью, щелкните три точки рядом с подсетью, с которой требуется отменить связь группы безопасности сети, а затем выберите Отменить связь. Выберите ответ Да.

PowerShell

Используйте Set-AzVirtualNetworkSubnetConfig , чтобы связать группу безопасности сети с подсетью или от нее.

## Place the virtual network configuration into a variable. ##
$virtualNetwork = Get-AzVirtualNetwork -Name myVNet -ResourceGroupName myResourceGroup
## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Update the subnet configuration. ##
Set-AzVirtualNetworkSubnetConfig -Name mySubnet -VirtualNetwork $virtualNetwork -AddressPrefix 10.0.0.0/24 -NetworkSecurityGroup $networkSecurityGroup
## Update the virtual network. ##
Set-AzVirtualNetwork -VirtualNetwork $virtualNetwork

Azure CLI

Используйте команду az network vnet subnet update , чтобы связать группу безопасности сети с подсетью или от нее.

az network vnet subnet update --resource-group myResourceGroup --vnet-name myVNet --name mySubnet --network-security-group myNSG

Удаление группы безопасности сети

Если группа безопасности сети связана с какой-либо подсетью или сетевыми интерфейсами, ее невозможно удалить. Удалите связи группы безопасности сети со всеми связанными с ней подсетями и сетевыми интерфейсами, прежде чем пытаться удалить эту группу.

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите группу безопасности сети, которую нужно удалить.

3. Нажмите Удалить, а затем нажмите Да в диалоговом окне подтверждения.

   

PowerShell

Используйте Командлет Remove-AzNetworkSecurityGroup , чтобы удалить группу безопасности сети.

Remove-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup

Azure CLI

Используйте команду az network nsg delete , чтобы удалить группу безопасности сети.

az network nsg delete --resource-group myResourceGroup --name myNSG

Работа с правилами безопасности

Группа безопасности сети содержит ноль или больше правил безопасности. Вы можете создавать, просматривать все, просматривать сведения о правилах безопасности, изменять и удалять их.

Создание правила безопасности

Количество правил для группы безопасности сети, которые можно создать для одного расположения и одной подписки Azure, ограничено. Узнайте о лимитах, квотах и ограничениях подписок и служб Azure.

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите имя группы безопасности сети, в которую нужно добавить правило безопасности.

3. Выберите Правила безопасности для входящего трафика или Правила безопасности для исходящего трафика.

   Отобразится несколько существующих правил, включая те, что вы, возможно, не добавляли. При создании группы безопасности сети в ней создается несколько правил безопасности по умолчанию. Ознакомьтесь с дополнительными сведениями о правилах безопасности по умолчанию. Правила безопасности по умолчанию невозможно удалить, но их можно переопределить с помощью правил с более высоким приоритетом.

4. Выберите + Добавить. Выберите или добавьте значения для следующих параметров, а затем нажмите кнопку Добавить:

   Параметр	Значение	Сведения
   Источник	Одно из двух значений: Любые IP-адреса Мой IP-адрес Тег службы Группа безопасности приложений	При выборе параметра IP-адреса необходимо также указать значение поля Диапазоны исходных IP-адресов или CIDR. Если выбран тег службы, необходимо также выбрать тег службы Source. Если выбран параметр Группа безопасности приложений, необходимо также выбрать существующую группу безопасности приложений. Если вы выбрали значение Группа безопасности приложений для источника и назначения, то сетевые интерфейсы в обеих группах безопасности должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.
   Диапазоны исходных IP-адресов или CIDR	Разделенный запятыми список IP-адресов и диапазонов CIDR.	Этот параметр отображается, если для параметра Источникзадано значение IP-адреса. Можно указать одно значение или список разделенных запятыми значений. Пример нескольких значений: 10.0.0.0/16, 192.188.1.1. Число значений, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure. Если указанный IP-адрес назначен виртуальной машине Azure, укажите ее частный IP-адрес, а не общедоступный IP-адрес. Платформа Azure обрабатывает правила безопасности после того, как преобразовывает общедоступный IP-адрес в частный для правил безопасности для входящего трафика, но до того, как преобразовывает частный IP-адрес в общедоступный для правил для исходящего трафика. Дополнительные сведения об IP-адресах в Azure см. в статье Общедоступные IP-адреса и частные IP-адреса.
   Тег службы источника	Тег службы из раскрывающегося списка	Этот параметр отображается, если для правила безопасности задано значение Source(Тег службы ). Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
   Исходная группа безопасности приложений	Существующая группа безопасности приложений.	Этот параметр отображается, если для параметра Источник задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
   Диапазоны исходных портов	Одно из двух значений: один порт, например 80; диапазон портов, например 1024-65535; разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535; звездочка (*), чтобы разрешить передачу трафика через любой порт.	Этот параметр указывает порты, через которые правило разрешает или запрещает передачу трафика. Число портов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
   Назначение	Одно из двух значений: Любые IP-адреса Тег службы группу безопасности приложений;	При выборе IP-адресов необходимо также указать конечные IP-адреса или диапазоны CIDR. При выборе тега службы необходимо также выбрать тег целевой службы. При выборе группы безопасности приложений необходимо также выбрать существующую группу безопасности приложений. Если вы выбрали значение Группа безопасности приложений для источника и назначения, то сетевые интерфейсы в обеих группах безопасности должны находиться в одной виртуальной сети. Узнайте, как создать группу безопасности приложений.
   Диапазоны IP-адресов назначения или CIDR	Разделенный запятыми список IP-адресов и диапазонов CIDR.	Этот параметр отображается, если для параметра Назначение задано значение IP-адреса. Как и в полях Источник и Диапазоны исходных IP-адресов или CIDR, можно указать один или несколько адресов либо диапазонов. Число адресов и диапазонов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure. Если указанный IP-адрес назначен виртуальной машине Azure, обязательно укажите ее частный IP-адрес, а не общедоступный IP-адрес. Платформа Azure обрабатывает правила безопасности после того, как преобразовывает общедоступный IP-адрес в частный для правил безопасности для входящего трафика, но до того, как преобразовывает частный IP-адрес в общедоступный для правил для исходящего трафика. Дополнительные сведения об IP-адресах в Azure см. в статье Общедоступные IP-адреса и частные IP-адреса.
   Тег целевой службы	Тег службы из раскрывающегося списка	Этот параметр отображается, если для правила безопасности для параметра Destinationзадано значение Тег службы . Тег службы — это предопределенный идентификатор категории IP-адресов. Дополнительные сведения о доступных тегах служб и том, что они представляют, приведены в разделе Теги служб.
   Группа безопасности приложений для назначения	Существующая группа безопасности приложений.	Этот параметр отображается, если для параметра Назначение задано значение Группа безопасности приложений. Выберите группу безопасности приложений, которая размещена в том же регионе, что и сетевой интерфейс. Узнайте, как создать группу безопасности приложений.
   Служба	Протокол назначения из раскрывающегося списка	Этот параметр задает целевой протокол и диапазон портов для правила безопасности. Вы можете выбрать предопределенную службу, например RDP, или выбрать Пользовательский и указать диапазон портов в поле Диапазоны портов назначения.
   Диапазоны портов назначения	Одно из двух значений: один порт, например 80; диапазон портов, например 1024-65535; разделенный запятыми список отдельных портов и (или) диапазонов портов, например 80, 1024-65535; звездочка (*), чтобы разрешить передачу трафика через любой порт.	Как и в случае с полем Диапазоны исходных портов, можно указать один или несколько портов и диапазонов. Число адресов и диапазонов, которые можно указать, ограничено. Дополнительные сведения см. в разделе об ограничениях Azure.
   протокол;	Любой, TCP, UDP или ICMP.	Правило может быть ограничено протоколом TCP, протоколом UDP или протоколом ICMP. По умолчанию правило применяется ко всем протоколам (Any).
   Действие	Разрешить или Запретить.	Этот параметр указывает, разрешает или запрещает правило доступ к указанной конфигурации источника и назначения.
   Приоритет	Значение в диапазоне 100–4096, уникальное для всех правил безопасности в группе безопасности сети.	Платформа Azure обрабатывает правила безопасности в порядке приоритета. Чем меньше число, тем выше приоритет. Рекомендуется оставлять промежуток между номерами приоритетов при создании правил, например 100, 200 и 300. Это упростит добавление правил в будущем, когда вам могут потребоваться правила с более высоким или низким приоритетом, чем у существующих правил.
   Имя	Уникальное имя правила в пределах группы безопасности сети.	Оно может содержать до 80 знаков. Имя должно начинаться с буквы или цифры, и заканчиваться буквой, цифрой или символом подчеркивания. Оно может содержать только буквы, цифры, символы подчеркивания, точки и дефисы
   Описание	Текстовое описание.	При необходимости можно указать текстовое описание правила безопасности. Описание не может содержать более 140 символов.

   

PowerShell

Используйте add-AzNetworkSecurityRuleConfig , чтобы создать правило группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Create the security rule. ##
Add-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 300 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Azure CLI

Используйте команду az network nsg rule create , чтобы создать правило группы безопасности сети.

az network nsg rule create --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 300 \
    --destination-address-prefixes '*' --destination-port-ranges 3389 --protocol Tcp --description "Allow RDP"

Просмотр всех правил безопасности

Группа безопасности сети может содержать ноль или больше правил. Дополнительные сведения о сведениях, перечисленных при просмотре правил, см. в статье Правила безопасности.

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите Правила безопасности для входящего трафика или Правила безопасности для исходящего трафика.

   Список содержит все созданные вами правила и правила безопасности по умолчанию для группы безопасности сети.

   

PowerShell

Используйте командлет Get-AzNetworkSecurityRuleConfig для просмотра правил безопасности группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## List security rules of the network security group in a table. ##
Get-AzNetworkSecurityRuleConfig -NetworkSecurityGroup $networkSecurityGroup | format-table Name, Protocol, Access, Priority, Direction, SourcePortRange, DestinationPortRange, SourceAddressPrefix, DestinationAddressPrefix

Azure CLI

Используйте команду az network nsg rule list для просмотра правил безопасности группы безопасности сети.

az network nsg rule list --resource-group myResourceGroup --nsg-name myNSG

Просмотр сведений о правиле безопасности

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите Правила безопасности для входящего трафика или Правила безопасности для исходящего трафика.

4. Выберите правило, сведения о котором нужно просмотреть. Описание всех параметров приведено в разделе Работа с правилами безопасности.

   Примечание

   Эта процедура применяется только к настраиваемому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

   

PowerShell

Используйте командлет Get-AzNetworkSecurityRuleConfig для просмотра сведений о правиле безопасности.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## View details of the security rule. ##
Get-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup

Примечание

Эта процедура применяется только к настраиваемому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

Azure CLI

Чтобы просмотреть сведения о правиле безопасности, используйте команду az network nsg rule show .

az network nsg rule show --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Примечание

Эта процедура применяется только к настраиваемому правилу безопасности. Он не подходит для правил безопасности по умолчанию.

Изменение правила безопасности

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите Правила безопасности для входящего трафика или Правила безопасности для исходящего трафика.

4. Выберите правило, которое нужно изменить.

5. Измените необходимые параметры, а затем щелкните Сохранить. Описание всех параметров приведено в разделе Работа с правилами безопасности.

   

   Примечание

   Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

PowerShell

Используйте Set-AzNetworkSecurityRuleConfig для обновления правила группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Make changes to the security rule. ##
Set-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup `
-Description "Allow RDP" -Access Allow -Protocol Tcp -Direction Inbound -Priority 200 `
-SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * -DestinationPortRange 3389
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Примечание

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Azure CLI

Используйте команду az network nsg rule update , чтобы обновить правило группы безопасности сети.

az network nsg rule update --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule --priority 200

Примечание

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Удаление правила безопасности

Портал

1. В поле поиска в верхней части портала введите Группа безопасности сети и выберите Группы безопасности сети в результатах поиска.

2. Выберите из списка имя группы безопасности сети, правила которой нужно просмотреть.

3. Выберите Правила безопасности для входящего трафика или Правила безопасности для исходящего трафика.

4. Выберите правила, которые нужно удалить.

5. Нажмите Удалить, а затем — Да.

   

   Примечание

   Эта процедура применяется только к настраиваемому правилу безопасности. Удаление правила безопасности по умолчанию запрещено.

PowerShell

Используйте командлет Remove-AzNetworkSecurityRuleConfig , чтобы удалить правило безопасности из группы безопасности сети.

## Place the network security group configuration into a variable. ##
$networkSecurityGroup = Get-AzNetworkSecurityGroup -Name myNSG -ResourceGroupName myResourceGroup
## Remove the security rule. ##
Remove-AzNetworkSecurityRuleConfig -Name RDP-rule -NetworkSecurityGroup $networkSecurityGroup
## Updates the network security group. ##
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $networkSecurityGroup

Примечание

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Azure CLI

Используйте команду az network nsg rule delete , чтобы удалить правило безопасности из группы безопасности сети.

az network nsg rule delete --resource-group myResourceGroup --nsg-name myNSG --name RDP-rule

Примечание

Эта процедура применяется только к настраиваемому правилу безопасности. Изменить правило безопасности по умолчанию невозможно.

Работа с группами безопасности приложений

Группа безопасности приложений содержит ноль или более сетевых интерфейсов. Дополнительные сведения см. в разделе Группы безопасности приложений. Все сетевые интерфейсы внутри группы безопасности приложений должны находиться в одной виртуальной сети. Чтобы узнать больше о добавлении сетевого интерфейса в группу безопасности приложений, ознакомьтесь с разделом Создание, изменение или удаление сетевых интерфейсов.

Создание группы безопасности приложений

Портал

1. В поле поиска в верхней части портала введите Группа безопасности приложений. В результатах поиска выберите Группы безопасности приложений .

2. Выберите + Создать.

3. На странице Создание группы безопасности приложения на вкладке Основные сведения введите или выберите следующие значения:

   Параметр	Действие
   Сведения о проекте
   Подписка	Выберите подписку Azure.
   Группа ресурсов	Выберите существующую группу ресурсов или создайте новую, нажав кнопку Создать. В этом примере используется группа ресурсов myResourceGroup .
   Сведения об экземпляре
   Имя	Введите имя создаваемой группы безопасности приложений.
   Регион	Выберите регион, в который вы хотите создать группу безопасности приложений.

   

4. Выберите Review + create (Просмотреть и создать).

5. При появлении сообщения Проверка пройдена выберите Создать.

PowerShell

Использование Командлета New-AzApplicationSecurityGroup

New-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG -Location eastus

Azure CLI

Использование команды az network asg create

az network asg create --resource-group myResourceGroup --name myASG --location eastus

Просмотр всех групп безопасности приложений

Портал

В поле поиска в верхней части портала введите Группа безопасности приложений. В результатах поиска выберите Группы безопасности приложений . Портал Azure отобразит список групп безопасности приложений.

PowerShell

Используйте Командлет Get-AzApplicationSecurityGroup , чтобы получить список всех групп безопасности приложений в подписке Azure.

Get-AzApplicationSecurityGroup | format-table Name, ResourceGroupName, Location

Azure CLI

Используйте команду az network asg list , чтобы получить список всех групп безопасности приложений в группе ресурсов.

az network asg list --resource-group myResourceGroup --out table

Просмотр сведений об определенной группе безопасности приложений

Портал

1. В поле поиска в верхней части портала введите Группа безопасности приложений. В результатах поиска выберите Группы безопасности приложений .

2. Выберите группу безопасности приложений, сведения о которой хотите просмотреть.

PowerShell

Использование Get-AzApplicationSecurityGroup

Get-AzApplicationSecurityGroup -Name myASG

Azure CLI

Используйте команду az network asg show , чтобы просмотреть сведения о группе безопасности приложений.

az network asg show --resource-group myResourceGroup --name myASG

Изменение группы безопасности приложений

Портал

1. В поле поиска в верхней части портала введите Группа безопасности приложений. В результатах поиска выберите Группы безопасности приложений .

2. Выберите группу безопасности приложений, которую требуется изменить.

Нажмите кнопку Переместить рядом с пунктом Группа ресурсов или Подписка , чтобы изменить группу ресурсов или подписку соответственно.

Выберите Изменить рядом с элементом Теги , чтобы добавить или удалить теги. Дополнительные сведения см. в статье Использование тегов для упорядочения ресурсов Azure и иерархии управления.

Примечание

Расположение группы безопасности приложений изменить нельзя.

Выберите Управление доступом (IAM), чтобы назначить или удалить разрешения для группы безопасности приложений.

PowerShell

Примечание

Вы не можете изменить группу безопасности приложений с помощью PowerShell.

Azure CLI

Используйте команду az network asg update , чтобы обновить теги для группы безопасности приложений.

az network asg update --resource-group myResourceGroup --name myASG --tags Dept=Finance

Примечание

Вы не можете изменить группу ресурсов, подписку или расположение группы безопасности приложений с помощью Azure CLI.

Удаление группы безопасности приложений

Невозможно удалить группу безопасности приложений, если она содержит какие-либо сетевые интерфейсы. Чтобы удалить все сетевые интерфейсы из группы безопасности приложений, измените параметры сетевых интерфейсов или удалите эти сетевые интерфейсы. Дополнительные сведения см. в разделе Добавление в группы безопасности приложений или удаление из них или Удаление сетевого интерфейса.

Портал

1. В поле поиска в верхней части портала введите Группа безопасности приложений. Выберите Группы безопасности приложений в результатах поиска.

2. Выберите группу безопасности приложений, которую нужно удалить.

3. Выберите Удалить и нажмите Да, чтобы удалить группу безопасности приложений.

   

PowerShell

Используйте командлет Remove-AzApplicationSecurityGroup , чтобы удалить группу безопасности приложений.

Remove-AzApplicationSecurityGroup -ResourceGroupName myResourceGroup -Name myASG

Azure CLI

Используйте команду az network asg delete , чтобы удалить группу безопасности приложений.

az network asg delete --resource-group myResourceGroup --name myASG

Разрешения

Для выполнения задач с группами безопасности сети, правилами безопасности и группами безопасности приложений вашей учетной записи должна быть назначена роль Участник сетей или настраиваемая роль, которой назначены соответствующие разрешения, перечисленные в следующей таблице.

Группа безопасности сети

Действие	Имя
Microsoft.Network/networkSecurityGroups/read	Получение группы безопасности сети.
Microsoft.Network/networkSecurityGroups/write	Создание или обновление группы безопасности сети.
Microsoft.Network/networkSecurityGroups/delete	Удаление группы безопасности сети.
Microsoft.Network/networkSecurityGroups/join/action	Привязка группы безопасности сети к подсети или сетевому интерфейсу.

Примечание

Для выполнения операций write с группой безопасности сети учетная запись подписки должна иметь по крайней мере разрешения read для группы ресурсов, а также разрешения Microsoft.Network/networkSecurityGroups/write.

Правило группы безопасности сети

Действие	Имя
Microsoft.Network/networkSecurityGroups/securityRules/read	Получение правила.
Microsoft.Network/networkSecurityGroups/securityRules/write	Создание или обновление правила.
Microsoft.Network/networkSecurityGroups/securityRules/delete	Удаление правила.

Группа безопасности приложений

Действие	Имя
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action	Присоединение конфигурации IP к группе безопасности приложений.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action	Присоединение правила безопасности к группе безопасности приложений.
Microsoft.Network/applicationSecurityGroups/read	Получение группы безопасности приложений.
Microsoft.Network/applicationSecurityGroups/write	Создание или обновление группы безопасности приложений.
Microsoft.Network/applicationSecurityGroups/delete	Удаление группы безопасности приложений

Дальнейшие действия

• Добавление или удаление сетевого интерфейса в группе безопасности приложений или из нее.
• Создайте и назначьте определения Политики Azure для виртуальных сетей.