Nätverkssäkerhetsgrupper med Azure Site Recovery

Nätverkssäkerhetsgrupper används för att begränsa nätverkstrafik till resurser i ett virtuellt nätverk. En nätverkssäkerhetsgrupp (NSG) innehåller en lista över säkerhetsregler som tillåter eller nekar inkommande eller utgående nätverkstrafik baserat på källans eller målets IP-adress, port och protokoll.

Under Resource Manager-distributionsmodellen kan NSG:er associeras med undernät eller enskilda nätverksgränssnitt. När en nätverkssäkerhetsgrupp är kopplad till ett undernät gäller reglerna för alla resurser som är anslutna till undernätet. Trafik kan begränsas ytterligare genom att även associera en NSG till enskilda nätverksgränssnitt i ett undernät som redan har en associerad NSG.

I den här artikeln beskrivs hur du kan använda nätverkssäkerhetsgrupper med Azure Site Recovery.

Använda nätverkssäkerhetsgrupper

Ett enskilt undernät kan ha noll eller en associerad NSG. Ett enskilt nätverksgränssnitt kan också ha noll eller en associerad NSG. Därför kan du effektivt ha dubbel trafikbegränsning för en virtuell dator genom att först associera en NSG till ett undernät och sedan en annan NSG till den virtuella datorns nätverksgränssnitt. Tillämpningen av NSG-regler i det här fallet beror på trafikriktningen och prioriteten för tillämpade säkerhetsregler.

Tänk dig ett enkelt exempel med en virtuell dator på följande sätt:

• Den virtuella datorn placeras i Contoso-undernätet.
• Contosos undernät är associerat med NSG för undernät.
• Nätverksgränssnittet för den virtuella datorn är dessutom associerat med den virtuella datorns nätverkssäkerhetsgrupp.

I det här exemplet utvärderas NSG för inkommande trafik först. All trafik som tillåts via NSG för undernät utvärderas sedan av VM NSG. Det omvända gäller för utgående trafik, där den virtuella datorns nätverkssäkerhetsgrupp utvärderas först. All trafik som tillåts via NSG för virtuella datorer utvärderas sedan av NSG för undernät.

Detta gör det möjligt för detaljerade säkerhetsregelprogram. Du kanske till exempel vill tillåta inkommande Internetåtkomst till några virtuella programdatorer (till exempel virtuella klientdelsdatorer) under ett undernät men begränsa inkommande Internetåtkomst till andra virtuella datorer (till exempel databas och andra virtuella serverdelsdatorer). I det här fallet kan du ha en mer överseende regel i nätverkssäkerhetsgruppen för undernät, vilket tillåter Internettrafik och begränsar åtkomsten till specifika virtuella datorer genom att neka åtkomst till den virtuella datorns nätverkssäkerhetsgrupp. Samma sak kan tillämpas för utgående trafik.

När du konfigurerar sådana NSG-konfigurationer ska du se till att rätt prioriteringar tillämpas på säkerhetsreglerna. Regler bearbetas i prioritetsordning. Låga tal bearbetas före höga tal eftersom låga tal har högre prioritet. När trafiken matchar en regel avbryts bearbetningen. Det innebär att regler som har lägre prioritet (högre tal) och samma attribut som regler med högre prioritet inte bearbetas.

Du kanske inte alltid är medveten om när nätverkssäkerhetsgrupper tillämpas för både ett nätverksgränssnitt och ett undernät. Du kan kontrollera de aggregeringsregler som tillämpas på ett nätverksgränssnitt genom att visa de effektiva säkerhetsreglerna för ett nätverksgränssnitt. Du kan också använda funktionen för att verifiera IP-flöde i Azure Network Watcher för att avgöra om kommunikation tillåts till eller från ett nätverksgränssnitt. Verktyget visar om kommunikation tillåts, och om nätverkssäkerhetsregeln tillåter eller nekar trafik.

Lokal till Azure-replikering med NSG

Azure Site Recovery möjliggör haveriberedskap och migrering till Azure för lokala virtuella Hyper-V-datorer, virtuella VMware-datorer och fysiska servrar. För alla lokala till Azure-scenarier skickas replikeringsdata till och lagras i ett Azure Storage-konto. Under replikeringen betalar du inga avgifter för virtuella datorer. När du kör en redundansväxling till Azure skapar Site Recovery automatiskt virtuella Azure IaaS-datorer.

När virtuella datorer har skapats efter redundansväxling till Azure kan NSG:er användas för att begränsa nätverkstrafiken till det virtuella nätverket och de virtuella datorerna. Site Recovery skapar inte NSG:er som en del av redundansåtgärden. Vi rekommenderar att du skapar nödvändiga Azure NSG:er innan du påbörjar redundansväxling. Du kan sedan associera NSG:er till redundansväxla virtuella datorer automatiskt under redundansväxlingen med hjälp av automationsskript med Site Recoverys kraftfulla återställningsplaner.

Om till exempel konfigurationen av den virtuella datorn efter redundansväxlingen liknar det exempelscenario som beskrivs ovan:

• Du kan skapa Contoso VNet och Contoso-undernät som en del av dr-planeringen för azure-målregionen.
• Du kan också skapa och konfigurera både undernäts-NSG och VM NSG som en del av samma DR-planering.
• NSG för undernät kan sedan omedelbart associeras med Contoso-undernätet, eftersom både NSG och undernätet redan är tillgängliga.
• NSG för virtuella datorer kan associeras med virtuella datorer under redundansväxling med hjälp av återställningsplaner.

När NSG:erna har skapats och konfigurerats rekommenderar vi att du kör ett redundanstest för att verifiera skriptade NSG-associationer och anslutning till den virtuella datorn efter redundansväxlingen.

Azure till Azure-replikering med NSG

Azure Site Recovery möjliggör haveriberedskap för virtuella Azure-datorer. När du aktiverar replikering för virtuella Azure-datorer kan Site Recovery skapa de virtuella repliknätverken (inklusive undernät och gatewayundernät) i målregionen och skapa de mappningar som krävs mellan de virtuella käll- och målnätverken. Du kan också skapa nätverk och undernät på målsidan i förväg och använda samma sak när du aktiverar replikering. Site Recovery skapar inga virtuella datorer i azure-målregionen före redundansväxlingen.

För replikering av virtuella Azure-datorer kontrollerar du att NSG-reglerna i Azure-källregionen tillåter utgående anslutning för replikeringstrafik. Du kan också testa och verifiera de här obligatoriska reglerna via det här exemplet på NSG-konfiguration.

Site Recovery skapar eller replikerar inte NSG:er som en del av redundansåtgärden. Vi rekommenderar att du skapar de NSG:er som krävs i Azure-målregionen innan redundansväxlingen påbörjas. Du kan sedan associera NSG:er till redundansväxla virtuella datorer automatiskt under redundansväxlingen med hjälp av automationsskript med Site Recoverys kraftfulla återställningsplaner.

Med tanke på exempelscenariot som beskrevs tidigare:

• Site Recovery kan skapa repliker av Contoso VNet och Contoso-undernätet i azure-målregionen när replikeringen är aktiverad för den virtuella datorn.
• Du kan skapa önskade repliker av NSG för undernät och NSG för virtuella datorer (med namnet till exempel NSG för målundernät respektive mål-VM NSG) på målregionen i Azure, vilket möjliggör ytterligare regler som krävs för målregionen.
• NSG för målundernät kan sedan omedelbart associeras med målregionens undernät, eftersom både NSG och undernätet redan är tillgängliga.
• Mål-VM NSG kan associeras med virtuella datorer under redundansväxling med hjälp av återställningsplaner.

När NSG:erna har skapats och konfigurerats rekommenderar vi att du kör ett redundanstest för att verifiera skriptade NSG-associationer och anslutning till den virtuella datorn efter redundansväxlingen.

Nästa steg

• Läs mer om nätverkssäkerhetsgrupper.
• Läs mer om NSG-säkerhetsregler.
• Läs mer om effektiva säkerhetsregler för en NSG.
• Läs mer om återställningsplaner för att automatisera programredundans.