Руководство. Фильтрация сетевого трафика с помощью группы безопасности сети

Группа безопасности сети позволяет фильтровать входящий и исходящий трафик ресурсов Azure в виртуальной сети Azure.

Группы безопасности сети содержат правила безопасности, которые фильтруют трафик по IP-адресу, порту и протоколу. Если группа безопасности сети связана с подсетью, правила безопасности применяются к ресурсам, развернутыми в этой подсети.

В этом руководстве описано следующее:

• Создание группы безопасности сети и правил безопасности.
• Создание групп безопасности приложений
• Создание виртуальной сети и привязка группы безопасности сети к подсети.
• Развертывание виртуальных машин и связывание их сетевых интерфейсов с группами безопасности приложений.

Необходимые компоненты

Портал

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

PowerShell

• Учетная запись Azure с активной подпиской. Вы можете создать учетную запись бесплатно.

Azure Cloud Shell

В Azure есть Azure Cloud Shell, интерактивная оболочка среды, с которой можно работать в браузере. Для работы со службами Azure можно использовать Bash или PowerShell с Cloud Shell. Для запуска кода из этой статьи можно использовать предварительно установленные команды Cloud Shell. Ничего дополнительного в локальной среде устанавливать не нужно.

Начало работы с Azure Cloud Shell

Вариант	Пример и ссылка
Нажмите кнопку Попробовать в правом верхнем углу блока кода или команд. При нажатии кнопки Попробовать код или команда не копируется в Cloud Shell автоматически.
Чтобы открыть Cloud Shell в браузере, перейдите по адресу https://shell.azure.com или нажмите кнопку Запуск Cloud Shell.
Нажмите кнопку Cloud Shell в строке меню в правом верхнем углу окна портала Azure.

Чтобы использовать Azure Cloud Shell, выполните следующие действия:

1. Запустите Cloud Shell.

2. Нажмите кнопку Копировать в блоке кода (или блоке команд), чтобы скопировать код или команду.

3. Вставьте код или команду в окно сеанса Cloud Shell, нажав клавиши CTRL+SHIFT+V в Windows и Linux или CMD+SHIFT+V в macOS.

4. Нажмите клавишу ВВОД, чтобы запустить код или команду.

Чтобы установить и использовать PowerShell локально для работы с этой статьей, вам понадобится модуль Azure PowerShell 1.0.0 или более поздней версии. Выполните командлет Get-Module -ListAvailable Az, чтобы узнать установленную версию. Если вам необходимо выполнить обновление, ознакомьтесь со статьей, посвященной установке модуля Azure PowerShell. При использовании PowerShell на локальном компьютере также нужно запустить Connect-AzAccount, чтобы создать подключение к Azure.

CLI

Если у вас еще нет подписки Azure, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см . в кратком руководстве по Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, Azure CLI можно запустить в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы выполнить аутентификацию, следуйте инструкциям в окне терминала. Сведения о других возможностях, доступных при входе, см. в статье Вход с помощью Azure CLI.

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений с Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

• Для работы с этой статьей требуется Azure CLI версии 2.0.28 или более поздней. Если вы используете Azure Cloud Shell, последняя версия уже установлена.

Портал

Следующая процедура создает виртуальную сеть с подсетью ресурсов.

1. На портале найдите и выберите "Виртуальные сети".

2. На странице Виртуальные сети выберите команду + Создать.

3. На вкладке Основные сведения подменю Создать виртуальную сеть введите или выберите нижеприведенную информацию:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите Создать. Введите test-rg в name. Нажмите кнопку ОК.
   Сведения об экземпляре
   Имя.	Введите vnet-1.
   Область/регион	Выберите регион Восточная часть США 2.

   

4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

5. Нажмите кнопку "Далее ", чтобы перейти на вкладку IP-адресов .

6. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

7. В области "Изменить подсеть" введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о подсети
   Шаблон подсети	Оставьте значение по умолчанию по умолчанию.
   Имя.	Введите подсеть-1.
   Начальный адрес	Оставьте значение по умолчанию 10.0.0.0.
   Размер подсети	Оставьте значение по умолчанию /24(256 адресов).

   

8. Выберите Сохранить.

9. Выберите "Рецензирование" и "Создать " в нижней части экрана. После прохождения проверки выберите Создать.

PowerShell

Создайте группу ресурсов для всех ресурсов, созданных в рамках этой статьи, выполнив командлет New-AzResourceGroup. В следующем примере создается группа ресурсов в расположении westus2 :

$rg = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
}

New-AzResourceGroup @rg

Создайте виртуальную сеть с помощью командлета New-AzVirtualNetwork. В следующем примере создается виртуальная виртуальная виртуальная сеть-1:

$vnet = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "vnet-1"
    AddressPrefix = "10.0.0.0/16"
}

$virtualNetwork = New-AzVirtualNetwork @vnet

Создайте конфигурацию подсети с помощью командлета Set-AzVirtualNetworkSubnetConfig, а затем сохраните эту конфигурацию подсети в виртуальную сеть с помощью командлета Set-AzVirtualNetwork. В следующем примере в виртуальную сеть добавляется подсеть с именем subnet-1 и связывается с ней группа безопасности сети nsg-1 :

$subnet = @{
    Name = "subnet-1"
    VirtualNetwork = $virtualNetwork
    AddressPrefix = "10.0.0.0/24"
}
Add-AzVirtualNetworkSubnetConfig @subnet

$virtualNetwork | Set-AzVirtualNetwork

CLI

Создайте группу ресурсов с помощью команды az group create для всех ресурсов, созданных в рамках этой статьи. В следующем примере создается группа ресурсов в расположении westus2 :

az group create \
  --name test-rg \
  --location westus2

Создайте виртуальную сеть с помощью команды az network vnet create. В следующем примере создается виртуальная виртуальная виртуальная сеть-1:

az network vnet create \
  --name vnet-1 \
  --resource-group test-rg \
  --address-prefixes 10.0.0.0/16

Добавьте подсеть в виртуальную сеть при помощи команды az network vnet subnet create. В следующем примере в виртуальную сеть добавляется подсеть с именем subnet-1 и связывается с ней группа безопасности сети nsg-1 :

az network vnet subnet create \
  --vnet-name vnet-1 \
  --resource-group test-rg \
  --name subnet-1 \
  --address-prefix 10.0.0.0/24

Создание групп безопасности приложений

Группа безопасности приложений позволяет группировать серверы с аналогичными функциями, например веб-серверы.

Портал

1. В поле поиска в верхней части портала введите группу безопасности приложений. Выберите группы безопасности приложений в результатах поиска.

2. Выберите + Создать.

3. На вкладке "Основы" создайте группу безопасности приложений, введите или выберите следующую информацию:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите asg-web.
   Область/регион	Выберите регион Восточная часть США 2.

4. Выберите Review + create (Просмотреть и создать).

5. Выберите + Создать.

6. Повторите предыдущие шаги, указав следующие значения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите asg-mgmt.
   Область/регион	Выберите регион Восточная часть США 2.

7. Выберите Review + create (Просмотреть и создать).

8. Нажмите кнопку создания.

PowerShell

Создайте группу безопасности приложений с помощью командлета New-AzApplicationSecurityGroup. Группа безопасности приложений позволяет группировать серверы с аналогичными требованиями к фильтрации портов. В следующем примере создаются две группы безопасности приложений.

$web = @{
    ResourceGroupName = "test-rg"
    Name = "asg-web"
    Location = "westus2"
}
$webAsg = New-AzApplicationSecurityGroup @web

$mgmt = @{
    ResourceGroupName = "test-rg"
    Name = "asg-mgmt"
    Location = "westus2"
}
$mgmtAsg = New-AzApplicationSecurityGroup @mgmt

CLI

Создайте группу безопасности приложений с помощью команды az network asg create. Группа безопасности приложений позволяет группировать серверы с аналогичными требованиями к фильтрации портов. В следующем примере создаются две группы безопасности приложений.

az network asg create \
  --resource-group test-rg \
  --name asg-web \
  --location westus2

az network asg create \
  --resource-group test-rg \
  --name asg-mgmt \
  --location westus2

Создание группы безопасности сети

Группа безопасности сети защищает трафик в вашей виртуальной сети.

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

   Примечание.

   В результатах поиска для групп безопасности сети могут отображаться группы безопасности сети (классическая модель). Выберите группы безопасности сети.

2. Выберите + Создать.

3. На вкладке "Основы" группы безопасности сети введите или выберите следующие сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Имя.	Введите nsg-1.
   Расположение	Выберите регион Восточная часть США 2.

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

PowerShell

Создайте группу безопасности сети с помощью командлета New-AzNetworkSecurityGroup. В следующем примере создается группа безопасности сети с именем nsg-1:

$nsgParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "nsg-1"
}
$nsg = New-AzNetworkSecurityGroup @nsgParams

CLI

Создайте группу безопасности сети с помощью команды az network nsg create. В следующем примере создается группа безопасности сети с именем nsg-1:

# Create a network security group
az network nsg create \
  --resource-group test-rg \
  --name nsg-1

Связывание группы безопасности сети с подсетью

В этом разделе описано, как связать группу безопасности сети с подсетью созданной ранее виртуальной сети.

Портал

1. В поле поиска в верхней части портала введите группу безопасности сети. В результатах поиска выберите Группы безопасности сети.

2. Выберите nsg-1.

3. Выберите подсети из раздела "Параметры" nsg-1.

4. На странице Подсети выберите + Связать:

   

5. В разделе "Связать подсеть" выберите виртуальную сеть-1 (test-rg) для виртуальной сети.

6. Выберите подсеть-1 для подсети и нажмите кнопку "ОК".

PowerShell

Используйте Get-AzVirtualNetwork для извлечения объекта виртуальной сети, а затем используйте Set-AzVirtualNetworkSubnetConfig , чтобы связать группу безопасности сети с подсетью. В следующем примере извлекается объект виртуальной сети и обновляется конфигурация подсети, чтобы связать группу безопасности сети:

# Retrieve the virtual network
$vnet = Get-AzVirtualNetwork -Name "vnet-1" -ResourceGroupName "test-rg"

# Update the subnet configuration to associate the network security group
$subnetConfigParams = @{
    VirtualNetwork = $vnet
    Name = "subnet-1"
    AddressPrefix = $vnet.Subnets[0].AddressPrefix
    NetworkSecurityGroup = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"
}
Set-AzVirtualNetworkSubnetConfig @subnetConfigParams

# Update the virtual network with the new subnet configuration
$vnet | Set-AzVirtualNetwork

CLI

Используйте az network vnet subnet update , чтобы связать группу безопасности сети с подсетью. В следующем примере группа безопасности сети nsg-1 связывается с подсетью-1.

az network vnet subnet update \
  --resource-group test-rg \
  --vnet-name vnet-1 \
  --name subnet-1 \
  --network-security-group nsg-1

Создание правил безопасности

Портал

1. Выберите правила безопасности для входящего трафика в разделе "Параметры" nsg-1.

2. На странице правил безопасности для входящего трафика нажмите кнопку +Добавить.

3. Создайте правило безопасности, разрешающее порты 80 и 443 группе безопасности asg-web application. На странице "Добавление правила безопасности для входящего трафика" введите или выберите следующие сведения:

   Параметр	Значение
   Оригинал	Оставьте значение по умолчанию Любое.
   Диапазоны исходных портов	Оставьте значение по умолчанию для (*).
   Назначение	Выберите Группа безопасности приложений.
   Конечные группы безопасности приложений	Выберите asg-web.
   Service	Оставьте значение по умолчанию Настраиваемое.
   Диапазоны портов назначения	Введите 80,443.
   Протокол	Выберите TCP.
   Действие	Оставьте значение по умолчанию Разрешить.
   Приоритет	Оставьте значение по умолчанию 100.
   Имя.	Введите allow-web-all.

4. Выберите Добавить.

5. Выполните предыдущие действия со следующими сведениями:

   Параметр	Значение
   Оригинал	Оставьте значение по умолчанию Любое.
   Диапазоны исходных портов	Оставьте значение по умолчанию для (*).
   Назначение	Выберите Группа безопасности приложений.
   Группа безопасности приложений для назначения	Выберите asg-mgmt.
   Service	Выберите RDP.
   Действие	Оставьте значение по умолчанию Разрешить.
   Приоритет	Оставьте значение по умолчанию 110.
   Имя.	Введите allow-rdp-all.

6. Выберите Добавить.

Внимание

В этой статье RDP (порт 3389) предоставляется в Интернете для виртуальной машины, назначенной группе безопасности приложений asg-mgmt .

В рабочих средах рекомендуется не открывать порт 3389 для доступа из Интернета, а подключиться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN-подключения, частного сетевого подключения или Бастиона Azure.

Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

PowerShell

Создайте правило безопасности с помощью командлета New-AzNetworkSecurityRuleConfig. В следующем примере создается правило, позволяющее входящий трафик из Интернета в группу безопасности веб-приложений asg-web application через порты 80 и 443:

$webAsgParams = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$webAsg = Get-AzApplicationSecurityGroup @webAsgParams

$webRuleParams = @{
    Name = "Allow-Web-All"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 100
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $webAsg.id
    DestinationPortRange = 80,443
}
$webRule = New-AzNetworkSecurityRuleConfig @webRuleParams

В следующем примере создается правило, разрешающее входящий трафик из Интернета в группу безопасности приложений asg-mgmt через порт 3389:

$mgmtAsgParams = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$mgmtAsg = Get-AzApplicationSecurityGroup @mgmtAsgParams

$mgmtRuleParams = @{
    Name = "Allow-RDP-All"
    Access = "Allow"
    Protocol = "Tcp"
    Direction = "Inbound"
    Priority = 110
    SourceAddressPrefix = "Internet"
    SourcePortRange = "*"
    DestinationApplicationSecurityGroupId = $mgmtAsg.id
    DestinationPortRange = 3389
}
$mgmtRule = New-AzNetworkSecurityRuleConfig @mgmtRuleParams

Используйте Get-AzNetworkSecurityGroup для получения существующей группы безопасности сети, а затем добавьте новые правила с оператором += . Наконец, обновите группу безопасности сети с помощью Set-AzNetworkSecurityGroup:

# Retrieve the existing network security group
$nsg = Get-AzNetworkSecurityGroup -Name "nsg-1" -ResourceGroupName "test-rg"

# Add the new rules to the security group
$nsg.SecurityRules += $webRule
$nsg.SecurityRules += $mgmtRule

# Update the network security group with the new rules
Set-AzNetworkSecurityGroup -NetworkSecurityGroup $nsg

Внимание

В этой статье RDP (порт 3389) предоставляется в Интернете для виртуальной машины, назначенной группе безопасности приложений asg-mgmt .

В рабочих средах рекомендуется не открывать порт 3389 для доступа из Интернета, а подключиться к ресурсам Azure, которыми вы хотите управлять, с помощью VPN-подключения, частного сетевого подключения или Бастиона Azure.

Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

CLI

Создайте правило безопасности с помощью команды az network nsg rule create. В следующем примере создается правило, позволяющее входящий трафик из Интернета в группу безопасности веб-приложений asg-web application через порты 80 и 443:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-Web-All \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 100 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-web" \
  --destination-port-range 80 443

В следующем примере создается правило, разрешающее входящий трафик из Интернета в группу безопасности приложений asg-mgmt через порт 22:

az network nsg rule create \
  --resource-group test-rg \
  --nsg-name nsg-1 \
  --name Allow-SSH-All \
  --access Allow \
  --protocol Tcp \
  --direction Inbound \
  --priority 110 \
  --source-address-prefix Internet \
  --source-port-range "*" \
  --destination-asgs "asg-mgmt" \
  --destination-port-range 22

Внимание

В этой статье SSH (порт 22) предоставляется в Интернете для виртуальной машины, назначенной группе безопасности приложений asg-mgmt .

Для рабочих сред вместо предоставления порта 22 в Интернет рекомендуется подключиться к ресурсам Azure, которым требуется управлять с помощью VPN, частного сетевого подключения или Бастиона Azure.

Дополнительные сведения о Бастионе Azure см. в статье Что такое Бастион Azure.

Создание виртуальных машин

Создайте две виртуальные машины в виртуальной сети.

Портал

1. На портале найдите и выберите "Виртуальные машины".

2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

3. В подменю Создать виртуальную машину введите или выберите следующую информацию на вкладке Основные сведения:

   Параметр	Значение
   Сведения о проекте
   Отток подписок	Выберите свою подписку.
   Группа ресурсов	Выберите test-rg.
   Сведения об экземпляре
   Virtual machine name	Введите vm-web.
   Область/регион	Выберите регион (США) Восточная часть США 2.
   Параметры доступности	Оставьте значение по умолчанию для параметра Избыточность инфраструктуры не требуется.
   Тип безопасности	Выберите Стандартное.
   Изображения	Выберите Windows Server 2022 Datacenter — x64-го поколения 2-го поколения.
   Точечный экземпляр Azure	Оставьте значение по умолчанию (флажок снят).
   Размер	Выберите размер.
   Учетная запись администратора
   Username	Введите имя пользователя.
   Пароль	Введите пароль.
   Подтверждение пароля	Введите пароль еще раз.
   Правила входящего порта
   Выбрать входящие порты	Выберите Отсутствует.

4. Нажмите кнопку "Далее": диски , а затем " Далее: сеть".

5. На вкладке Сеть введите или выберите следующие значения параметров.

   Параметр	Значение
   Сетевой интерфейс
   Виртуальная сеть	Выберите виртуальную сеть-1.
   Подсеть	Выберите подсеть-1 (10.0.0.0/24).
   Общедоступный IP-адрес	Оставьте значение по умолчанию "Новый общедоступный IP-адрес".
   Группа безопасности сети сетевого адаптера	Выберите Отсутствует.

6. Перейдите на вкладку Просмотр и создание или нажмите синюю кнопку Просмотр и создание внизу страницы.

7. Нажмите кнопку создания. Развертывание виртуальной машины может занять несколько минут.

8. Повторите предыдущие шаги, чтобы создать вторую виртуальную машину с именем vm-mgmt.

PowerShell

Прежде чем создавать виртуальные машины, получите объект виртуальной сети с подсетью с помощью командлета Get-AzVirtualNetwork.

$virtualNetworkParams = @{
    Name = "vnet-1"
    ResourceGroupName = "test-rg"
}
$virtualNetwork = Get-AzVirtualNetwork @virtualNetworkParams

Создайте общедоступный IP-адрес для каждой виртуальной машины с помощью командлета New-AzPublicIpAddress.

$publicIpWebParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-web"
}
$publicIpWeb = New-AzPublicIpAddress @publicIpWebParams

$publicIpMgmtParams = @{
    AllocationMethod = "Static"
    ResourceGroupName = "test-rg"
    Location = "westus2"
    Name = "public-ip-vm-mgmt"
}
$publicIpMgmt = New-AzPublicIpAddress @publicIpMgmtParams

Создайте два сетевых интерфейса с помощью командлета New-AzNetworkInterface и назначьте каждому из них общедоступный IP-адрес. В следующем примере создается сетевой интерфейс, который связывает с ним общедоступный IP-адрес общедоступного IP-адреса общедоступной виртуальной машины public.

$webNicParams = @{
    Location = "westus2"
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpWeb.Id
}
$webNic = New-AzNetworkInterface @webNicParams

В следующем примере создается сетевой интерфейс, с ним связывается общедоступный IP-адрес public-ip-vm-mgmt .

$mgmtNicParams = @{
    Location = "westus2"
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
    SubnetId = $virtualNetwork.Subnets[0].Id
    PublicIpAddressId = $publicIpMgmt.Id
}
$mgmtNic = New-AzNetworkInterface @mgmtNicParams

Создайте две виртуальные машины в виртуальной сети, чтобы вы могли проверить фильтрацию трафика на более позднем этапе.

Создайте конфигурацию виртуальной машины с помощью командлета New-AzVMConfig, затем создайте виртуальную машину с помощью командлета New-AzVM. В следующем примере создается виртуальная машина, которая служит веб-сервером. Чтобы можно было перейти к следующему шагу, параметр -AsJob позволяет создать виртуальную машину в фоновом режиме.

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

$webVmConfigParams = @{
    VMName = "vm-web"
    VMSize = "Standard_DS1_V2"
}

$vmOSParams = @{
    ComputerName = "vm-web"
    Credential = $cred
}

$vmImageParams = @{
    PublisherName = "MicrosoftWindowsServer"
    Offer = "WindowsServer"
    Skus = "2022-Datacenter"
    Version = "latest"
}

$webVmConfig = New-AzVMConfig @webVmConfigParams | Set-AzVMOperatingSystem -Windows @vmOSParams | Set-AzVMSourceImage @vmImageParams | Add-AzVMNetworkInterface -Id $webNic.Id

$webVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $webVmConfig
}

New-AzVM @webVmParams -AsJob

Создайте виртуальную машину в качестве сервера управления:

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

$webVmConfigParams = @{
    VMName = "vm-mgmt"
    VMSize = "Standard_DS1_V2"
}

$vmOSParams = @{
    ComputerName = "vm-mgmt"
    Credential = $cred
}

$vmImageParams = @{
    PublisherName = "MicrosoftWindowsServer"
    Offer = "WindowsServer"
    Skus = "2022-Datacenter"
    Version = "latest"
}

$mgmtVmConfig = New-AzVMConfig @webVmConfigParams | Set-AzVMOperatingSystem -Windows @vmOSParams | Set-AzVMSourceImage @vmImageParams | Add-AzVMNetworkInterface -Id $mgmtNic.Id

$mgmtVmParams = @{
    ResourceGroupName = "test-rg"
    Location = "westus2"
    VM = $mgmtVmConfig
}

New-AzVM @mgmtVmParams

Создание виртуальной машины занимает несколько минут. Не переходите к следующему шагу, пока Azure не закончит создание виртуальной машины.

CLI

Создайте две виртуальные машины в виртуальной сети, чтобы вы могли проверить фильтрацию трафика на более позднем этапе.

Создайте виртуальную машину с помощью команды az vm create. В следующем примере создается виртуальная машина, которая служит веб-сервером. Параметр --nsg "" указан для того, чтобы предотвратить создание в Azure группы безопасности сети по умолчанию для сетевого интерфейса, который Azure создает при создании виртуальной машины. Командная строка создает пароль для виртуальной машины. Ключи SSH в этом примере не используются для упрощения последующих действий в этой статье. В рабочей среде используйте ключи SSH для обеспечения безопасности.

az vm create \
  --resource-group test-rg \
  --name vm-web \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --authentication-type password \
  --assign-identity

Создание виртуальной машины занимает несколько минут. После создания виртуальной машины возвращается результат, аналогичный приведенному ниже.

{
  "fqdns": "",
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/test-rg/providers/Microsoft.Compute/virtualMachines/vm-web",
  "location": "westus2",
  "macAddress": "00-0D-3A-23-9A-49",
  "powerState": "VM running",
  "privateIpAddress": "10.0.0.4",
  "publicIpAddress": "203.0.113.24",
  "resourceGroup": "test-rg"
}

Создайте виртуальную машину с помощью команды az vm create. В следующем примере создается виртуальная машина, которая служит сервером управления.

В следующем примере создается виртуальная машина и добавляется учетная запись пользователя. Параметр --generate-ssh-keys приводит к тому, что интерфейс командной строки ищет доступный ключ SSH в ~/.ssh. Если он найден, используется этот ключ. Если нет, он создается и хранится в ~/.ssh. Наконец, мы развернем последний Ubuntu 22.04 образ.

az vm create \
  --resource-group test-rg \
  --name vm-mgmt \
  --image Ubuntu2204 \
  --vnet-name vnet-1 \
  --subnet subnet-1 \
  --nsg "" \
  --admin-username azureuser \
  --generate-ssh-keys \
  --assign-identity

Создание виртуальной машины занимает несколько минут. Не переходите к следующему шагу, пока Azure не закончит создание виртуальной машины.

Связывание сетевых интерфейсов с группой безопасности приложений

Портал

При создании виртуальной машины Azure создает сетевой интерфейс для каждой виртуальной машины и подключает их к виртуальным машинам.

Добавьте сетевой интерфейс для каждой виртуальной машины в одну из созданных ранее групп безопасности приложений:

1. В поле поиска в верхней части портала введите Виртуальная машина. Выберите виртуальные машины в результатах поиска, а затем выберите vm-web.

2. Выберите группы безопасности приложений из раздела "Сеть" виртуальной машины.

3. Выберите "Добавить группы безопасности приложений", а затем на вкладке "Добавить группы безопасности приложений" выберите asg-web. Наконец, нажмите Добавить.

   

4. Повторите предыдущие шаги для vm-mgmt, выбрав asg-mgmt на вкладке "Добавление групп безопасности приложений".

PowerShell

Используйте Get-AzNetworkInterface для получения сетевого интерфейса виртуальной машины, а затем используйте Get-AzApplicationSecurityGroup для получения группы безопасности приложений. Наконец, используйте Set-AzNetworkInterface , чтобы связать группу безопасности приложений с сетевым интерфейсом. В следующем примере группа безопасности приложений asg-web application связывается с сетевым интерфейсом vm-web-nic :

$params1 = @{
    Name = "vm-web-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-web"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

Повторите команду, чтобы связать группу безопасности приложений asg-mgmt с сетевым интерфейсом vm-mgmt-nic.

$params1 = @{
    Name = "vm-mgmt-nic"
    ResourceGroupName = "test-rg"
}
$nic = Get-AzNetworkInterface @params1

$params2 = @{
    Name = "asg-mgmt"
    ResourceGroupName = "test-rg"
}
$asg = Get-AzApplicationSecurityGroup @params2

$nic.IpConfigurations[0].ApplicationSecurityGroups = @($asg)

$params3 = @{
    NetworkInterface = $nic
}
Set-AzNetworkInterface @params3

CLI

Используйте az network nic update , чтобы связать сетевой интерфейс с группой безопасности приложений. В следующем примере группа безопасности приложений asg-web application связывается с сетевым интерфейсом vm-web-nic :

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-web --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-web \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-web

Повторите команду, чтобы связать группу безопасности приложений asg-mgmt с сетевым интерфейсом vm-mgmt-nic.

# Retrieve the network interface name associated with the virtual machine
nic_name=$(az vm show --resource-group test-rg --name vm-mgmt --query 'networkProfile.networkInterfaces[0].id' -o tsv | xargs basename)

# Associate the application security group with the network interface
az network nic ip-config update \
    --name ipconfigvm-mgmt \
    --nic-name $nic_name \
    --resource-group test-rg \
    --application-security-groups asg-mgmt

Тестирование фильтров трафика

Портал

1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

2. Выберите vm-mgmt.

3. На странице "Обзор" нажмите кнопку "Подключиться" и выберите "Собственный RDP".

4. Щелкните Скачать RDP-файл.

5. Откройте скачанный RDP-файл и нажмите Подключиться. Введите имя пользователя и пароль, указанные при создании виртуальной машины.

6. Нажмите ОК.

7. Во время процесса подключения может появиться предупреждение о сертификате. Если вы получили предупреждение, выберите Да или Продолжить, чтобы продолжить процесс подключения.

   Подключение выполнено успешно, так как входящий трафик из Интернета в группу безопасности приложений asg-mgmt разрешен через порт 3389.

   Сетевой интерфейс для vm-mgmt связан с группой безопасности приложений asg-mgmt и разрешает подключение.

8. Откройте сеанс PowerShell в vm-mgmt. Подключитесь к vm-web , используя следующее:

   mstsc /v:vm-web
   

   Подключение RDP из vm-mgmt к vm-web завершается успешно, так как виртуальные машины в одной сети могут взаимодействовать друг с другом через любой порт по умолчанию.

   Вы не можете создать подключение RDP к виртуальной веб-виртуальной машине из Интернета. Правило безопасности для asg-web запрещает подключения к порту 3389 входящего трафика из Интернета. По умолчанию входящий трафик из Интернета запрещен для всех ресурсов.

9. Чтобы установить Microsoft IIS на виртуальной веб-виртуальной машине, введите следующую команду из сеанса PowerShell на виртуальной веб-виртуальной машине:

   Install-WindowsFeature -name Web-Server -IncludeManagementTools
   

10. После завершения установки IIS отключитесь от виртуальной веб-виртуальной машины, которая оставляет вас в подключении к удаленному рабочему столу виртуальной машины vm-mgmt .

11. Отключитесь от виртуальной машины mgmt .

12. Найдите виртуальную машину в поле поиска на портале.

13. На странице обзора виртуальной машины обратите внимание на общедоступный IP-адрес виртуальной машины. Адрес, показанный в следующем примере: 203.0.113.103. Ваш адрес отличается:

    

14. Чтобы убедиться, что вы можете получить доступ к веб-серверу виртуальной машины из Интернета, откройте браузер в Интернете на компьютере и перейдите к http://<public-ip-address-from-previous-step>ней.

Вы видите страницу IIS по умолчанию, так как входящий трафик из Интернета в группу безопасности приложений asg-web application разрешен через порт 80.

Сетевой интерфейс, подключенный к vm-web , связан с группой безопасности asg-web application и разрешает подключение.

PowerShell

Чтобы получить общедоступный IP-адрес виртуальной машины, выполните командлет Get-AzPublicIpAddress. В следующем примере возвращается общедоступный IP-адрес виртуальной машины mgmt :

$params = @{
    Name = "public-ip-vm-mgmt"
    ResourceGroupName = "test-rg"
}
$publicIP = Get-AzPublicIpAddress @params | Select IpAddress

Используйте следующую команду, чтобы создать сеанс удаленного рабочего стола с виртуальной машиной mgmt на локальном компьютере.

mstsc /v:$publicIP

Введите имя пользователя и пароль, указанные при создании виртуальной машины (может потребоваться выбрать дополнительные варианты, а затем использовать другую учетную запись, чтобы указать учетные данные, введенные при создании виртуальной машины), а затем нажмите кнопку "ОК". При входе в систему может появиться предупреждение о сертификате. Чтобы продолжить процесс подключения, выберите Да.

Подключение выполнено успешно. Порт 3389 разрешен входящий трафик из Интернета в группу безопасности приложений asg-mgmt . Сетевой интерфейс, подключенный к виртуальной машине vm-mgmt , находится в этой группе.

Используйте следующую команду, чтобы создать подключение к виртуальной машине виртуальной машины виртуальной машины с помощью следующей команды из PowerShell:

mstsc /v:vm-web

Подключение будет установлено успешно, так как правило безопасности по умолчанию в каждой группе безопасности сети разрешает трафик через все порты между всеми IP-адресами в виртуальной сети. Невозможно создать подключение удаленного рабочего стола к виртуальной машине виртуальной машины из Интернета, так как правило безопасности для asg-web не разрешает входящий порт 3389 из Интернета.

Используйте следующую команду, чтобы установить Microsoft IIS на виртуальной виртуальной машине из PowerShell:

Install-WindowsFeature -name Web-Server -IncludeManagementTools

После завершения установки IIS отключитесь от виртуальной веб-виртуальной машины, которая оставляет вас в подключении к удаленному рабочему столу виртуальной машины vm-mgmt . Чтобы просмотреть экран приветствия IIS, откройте браузер и перейдите по адресу http://vm-web.

Отключитесь от виртуальной машины mgmt .

На компьютере введите следующую команду из PowerShell, чтобы получить общедоступный IP-адрес виртуального веб-сервера :

$params = @{
    Name = "public-ip-vm-web"
    ResourceGroupName = "test-rg"
}
Get-AzPublicIpAddress @params | Select IpAddress

Чтобы убедиться, что вы можете получить доступ к веб-серверу виртуальной машины извне Azure, откройте браузер в Интернете на компьютере и перейдите к ней http://<public-ip-address-from-previous-step>. Подключение выполнено успешно. Порт 80 разрешен входящий трафик из Интернета в группу безопасности asg-web application. Сетевой интерфейс, подключенный к виртуальной машине vm-web , находится в этой группе.

CLI

Используя выбранный клиент SSH, подключитесь к виртуальным машинам, созданным ранее. Например, следующую команду можно использовать из интерфейса командной строки, например подсистема Windows для Linux для создания сеанса SSH с виртуальной машиной mgmt. Вы можете войти на виртуальные машины с помощью учетных данных идентификатора Microsoft Entra или использовать ключ SSH, используемый для создания виртуальных машин. В следующем примере мы используем ключ SSH для входа в виртуальную машину управления, а затем войдите на веб-виртуальную машину из виртуальной машины управления с помощью пароля.

Дополнительные сведения о том, как SSH на виртуальную машину Linux и войти с помощью идентификатора Microsoft Entra, см. в статье "Вход в виртуальную машину Linux в Azure" с помощью идентификатора Microsoft Entra и OpenSSH.

Хранение IP-адреса виртуальной машины для SSH

Выполните следующую команду, чтобы сохранить IP-адрес виртуальной машины в качестве переменной среды:

export IP_ADDRESS=$(az vm show --show-details --resource-group test-rg --name vm-mgmt --query publicIps --output tsv)

ssh -o StrictHostKeyChecking=no azureuser@$IP_ADDRESS

Подключение выполнено успешно, так как сетевой интерфейс, подключенный к виртуальной машине vm-mgmt , находится в группе безопасности приложений asg-mgmt , которая разрешает входящий порт 22 из Интернета.

Используйте следующую команду для SSH-виртуальной машины на виртуальной машине веб-сайта из виртуальной машины vm-mgmt :

ssh -o StrictHostKeyChecking=no azureuser@vm-web

Подключение будет установлено успешно, так как правило безопасности по умолчанию в каждой группе безопасности сети разрешает трафик через все порты между всеми IP-адресами в виртуальной сети. Не удается выполнить SSH-подключение к виртуальной машине из Интернета, так как правило безопасности для asg-web не разрешает входящий порт 22 из Интернета.

Используйте следующие команды, чтобы установить веб-сервер nginx на виртуальной машине :

# Update package source
sudo apt-get -y update

# Install NGINX
sudo apt-get -y install nginx

Виртуальная машина vm-web разрешена исходящим трафиком к Интернету для получения nginx, так как правило безопасности по умолчанию разрешает весь исходящий трафик в Интернет. Закройте сеанс SSH виртуальной машины виртуальной машины, который оставляет вас в запросе username@vm-mgmt:~$ виртуальной машины mgmt. Чтобы получить экран приветствия nginx из виртуальной машины vm-web , введите следующую команду:

curl vm-web

Выйдите из виртуальной машины vm-mgmt . Чтобы убедиться, что вы можете получить доступ к веб-серверу виртуальной машины извне Azure, введите curl <publicIpAddress> с собственного компьютера. Подключение завершается успешно, так как группа безопасности веб-приложений asg, в которой сетевой интерфейс, подключенный к виртуальной машине виртуальной машины, поддерживает входящий порт 80 из Интернета.

Портал

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

2. На странице групп ресурсов выберите группу ресурсов test-rg.

3. На странице test-rg выберите "Удалить группу ресурсов".

4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

PowerShell

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы с помощью командлета Remove-AzResourceGroup:

$params = @{
    Name = "test-rg"
    Force = $true
}
Remove-AzResourceGroup @params

CLI

Вы можете удалить ненужную группу ресурсов и все содержащиеся в ней ресурсы, выполнив команду az group delete.

az group delete \
    --name test-rg \
    --yes \
    --no-wait

Следующие шаги

Изучив это руководство, вы:

• Создали группу безопасности сети и связали ее с подсетью виртуальной сети.
• Создали группы безопасности приложений для сети и управления.
• Создали две виртуальные машины и связали их сетевые интерфейсы с группами безопасности приложений.
• Протестировали сетевую фильтрацию группы безопасности приложений.

Дополнительные сведения о группах безопасности сети см. в статьях Безопасность сети и Create, change, or delete a network security group (Создание, изменение или удаление группы безопасности сети).

Azure маршрутизирует трафик между подсетями по умолчанию. Вместо этого можно выбрать маршрутизацию трафика между подсетями через виртуальную машину, выступая в качестве брандмауэра, например.

Чтобы узнать, как создать таблицу маршрутов, перейдите к следующему руководству.

Создание таблицы маршрутов