Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können eine Netzwerksicherheitsgruppe konfigurieren, um eingehenden und ausgehenden Netzwerkdatenverkehr zu und von Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine Netzwerksicherheitsgruppe kann Sicherheitsregeln enthalten, die den Netzwerkdatenverkehr nach IP-Adresse, Port und Protokoll filtern. Wenn eine Netzwerksicherheitsgruppe einem Subnetz zugeordnet ist, werden Sicherheitsregeln auf Ressourcen angewendet, die in diesem Subnetz bereitgestellt werden.
In diesem Artikel wird beschrieben, wie Sie Netzwerksicherheitsgruppenregeln konfigurieren, um den Zugriff auf einen Azure Managed Lustre-Dateisystemcluster als Teil einer Zero Trust-Strategie zu sichern.
Voraussetzungen
- Ein Azure-Abonnement. Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
- Ein virtuelles Netzwerk mit einem Subnetz, das für die Unterstützung des Azure Managed Lustre-Dateisystems konfiguriert ist. Weitere Informationen finden Sie unter Netzwerkvoraussetzungen.
- Ein azure Managed Lustre-Dateisystem, das in Ihrem Azure-Abonnement bereitgestellt wird. Weitere Informationen finden Sie unter Erstellen eines Azure Managed Lustre-Dateisystems.
Erstellen und Konfigurieren einer Netzwerksicherheitsgruppe
So erstellen Sie eine Netzwerksicherheitsgruppe im Azure-Portal:
Geben Sie im Suchfeld des Portals die Netzwerksicherheitsgruppe ein, und wählen Sie dann Netzwerksicherheitsgruppen aus.
Wählen Sie "Erstellen" aus.
Geben Sie im Bereich "Netzwerksicherheitsgruppe erstellen" auf der Registerkarte " Grundlagen " die folgenden Werte ein, oder wählen Sie sie aus:
Einstellung Aktion Projektdetails Subscription Wählen Sie Ihr Azure-Abonnement. Ressourcengruppe Wählen Sie eine vorhandene Ressourcengruppe aus, oder erstellen Sie eine neue, indem Sie den Link Neu erstellen auswählen. In diesem Beispiel wird die Beispiel-rg-Ressourcengruppe verwendet. Instanzendetails Netzwerksicherheitsgruppenname Geben Sie einen Namen für die Netzwerksicherheitsgruppe ein. Region Wählen Sie die zu verwendende Azure-Region aus. 
Klicken Sie auf Überprüfen + erstellen.
Nachdem "Überprüfung bestanden" erscheint, wählen Sie "Erstellen" aus.
Zuordnen der Netzwerksicherheitsgruppe zu einem Subnetz
Nachdem Sie die Netzwerksicherheitsgruppe erstellt haben, können Sie sie dem eindeutigen Subnetz in Ihrem virtuellen Netzwerk zuordnen, in dem sich das Azure Managed Lustre-Dateisystem befindet.
So ordnen Sie die Netzwerksicherheitsgruppe einem Subnetz mithilfe des Azure-Portals zu:
Geben Sie im Suchfeld des Portals die Netzwerksicherheitsgruppe ein, und wählen Sie dann Netzwerksicherheitsgruppen aus.
Wählen Sie den Namen Ihrer Netzwerksicherheitsgruppe und dann Subnetze aus.
Um dem Subnetz eine Netzwerksicherheitsgruppe zuzuordnen, wählen Sie "Zuordnen" aus. Wählen Sie dann Ihr virtuelles Netzwerk und ein Subnetz aus, um die Netzwerksicherheitsgruppe zuzuordnen.
Wählen Sie OK aus.
Konfigurieren von Regeln für Netzwerksicherheitsgruppen
Wenn Sie Ihre Netzwerksicherheitsgruppe konfigurieren, ist es wichtig, die bereitgestellten Richtlinien einzuhalten. Wenn Sie Ihre Netzwerksicherheitsgruppe ordnungsgemäß einrichten, betreibt Managed Lustre wesentliche Dienste wie das Managed Lustre-Protokoll, technische und Diagnoseunterstützung, Azure Blob Storage und Sicherheitsüberwachung. Das Deaktivieren dieser wesentlichen Dienste kann zu einer beeinträchtigten Produkt- und Supporterfahrung führen.
Um Netzwerksicherheitsgruppenregeln für die Unterstützung des Azure Managed Lustre-Dateisystems zu konfigurieren, fügen Sie ein- und ausgehende Sicherheitsregeln zur Netzwerksicherheitsgruppe hinzu, die dem verwalteten Lustre-Subnetz zugeordnet ist. In den folgenden Abschnitten wird beschrieben, wie Sie die eingehenden und ausgehenden Sicherheitsregeln für die Unterstützung des Azure Managed Lustre-Dateisystems erstellen und konfigurieren.
Hinweis
Die in diesem Abschnitt beschriebenen Sicherheitsregeln basieren auf einer Azure Managed Lustre-Dateisystemtestbereitstellung in der Region Ost-USA und mit aktivierter Blob Storage-Integration. Passen Sie die Regeln für Ihre Bereitstellungsregion, die IP-Adresse des virtuellen Netzwerks und andere Konfigurationseinstellungen für Ihr Managed Lustre-Dateisystem an.
Erstellen eingehender Sicherheitsregeln
Das folgende Beispiel zeigt, wie Sie eine neue eingehende Sicherheitsregel im Azure-Portal erstellen und konfigurieren.
- Wechseln Sie im Azure-Portal zu Ihrer Netzwerksicherheitsgruppenressource.
- Wählen Sie unter Einstellungen die Option Eingangssicherheitsregeln.
- Wählen Sie auf der Befehlsleiste "Hinzufügen" aus.
- Konfigurieren Sie im Bereich "Eingehende Sicherheitsregel hinzufügen" die Einstellungen für die Regel, und wählen Sie dann "Hinzufügen" aus.
Fügen Sie der Netzwerksicherheitsgruppe die folgenden eingehenden Regeln hinzu. Eine Beschreibung aller Azure-Diensttags finden Sie in der Übersicht über Azure-Diensttags.
| Priority | Name | Häfen | Protokoll | Quelle | Ziel | Aktion | Beschreibung |
|---|---|---|---|---|---|---|---|
| 110 | Regelname | Any | Any | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | Zulassen | Ermöglicht den Datenverkehrsfluss zwischen verwalteten Lustre-Hosts für Dateisystemaktivitäten. Das System erfordert auch TCP-Port 22 (Secure Shell) für die erste Bereitstellung und Konfiguration. |
| 111 | Regelname | 988, 1019 bis 1023 | TCP | IP-Adresse/CIDR-Bereich für das Verwaltete Lustre-Client-Subnetz | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | Zulassen | Ermöglicht Ihren Managed Lustre-Clients die Interaktion mit allen Verwalteten Lustre-Speicherknoten für Dateisystemaktivitäten. Das Azure Managed Lustre-Dateisystemprotokoll erfordert Ports 988 und 1019 bis 1023. |
| 112 | Regelname | Any | TCP | AzureMonitor |
VirtualNetwork |
Zulassen | Ermöglicht dem AzureMonitor-Dienst, Integritäts- oder Sicherheitsprobleme mit dem verwalteten Lustre-Diensthost zu erkennen. |
| 120 | Regelname | Any | Any | Any | Any | Verweigern | Verweigert alle anderen eingehenden Flüsse. |
Die eingehenden Sicherheitsregeln im Azure-Portal sollten dem folgenden Beispiel ähneln:
Die Abbildung wird als Beispiel bereitgestellt. Die vollständige Liste der Regeln finden Sie in der vorherigen Tabelle. Passen Sie die Subnetz-IP-Adresse, den CIDR-Bereich und andere Einstellungen für Ihre Bereitstellung an.
Erstellen ausgehender Sicherheitsregeln
So erstellen und konfigurieren Sie eine neue ausgehende Sicherheitsregel:
- Öffnen Sie im Azure-Portal die Netzwerksicherheitsgruppenressource.
- Wählen Sie unter Einstellungen die Option Sicherheitsregeln für ausgehenden Datenverkehr aus.
- Wählen Sie auf der Befehlsleiste "Hinzufügen" aus.
- Konfigurieren Sie im Bereich "Ausgehende Sicherheitsregel hinzufügen " die Einstellungen für die Regel, und wählen Sie dann "Hinzufügen" aus.
Fügen Sie der Netzwerksicherheitsgruppe die folgenden ausgehenden Regeln und Netzwerkdiensttags hinzu. Eine Beschreibung aller Azure-Diensttags finden Sie in der Übersicht über Azure-Diensttags.
| Priority | Name | Häfen | Protokoll | Quelle | Ziel | Aktion | Beschreibung |
|---|---|---|---|---|---|---|---|
| 100 | Regelname | 443 | TCP | VirtualNetwork |
AzureMonitor |
Zulassen | Ermöglicht dem AzureMonitor-Dienst, Integritäts- und Sicherheitsprobleme zu melden, die von den verwalteten Lustre-Diensthosts diagnostiziert werden. |
| 101 | Regelname | 443 | TCP | VirtualNetwork |
AzureKeyVault.EastUS |
Zulassen | Ermöglicht den Zugriff auf den AzureKeyVault Netzwerkdienst, um essentielle Sicherheitsgeheimnisse für den grundlegenden Betrieb und den Speicherzugriff zu speichern. |
| 102 | Regelname | 443 | TCP | VirtualNetwork |
AzureActiveDirectory |
Zulassen | Ermöglicht den Zugriff auf AzureActiveDirectory den sicheren Microsoft Entra ID-Dienst, der während der Bereitstellungs- und Supportaktivitäten verwendet wird. |
| 103 | Regelname | 443 | TCP | VirtualNetwork |
Storage.EastUS |
Zulassen | Ermöglicht den Zugriff auf Speicherkontoendpunkte, die für das Managed Lustre-Hardwaresicherheitsmodul, Systemintegritätssignale und andere Kommunikationsflüsse an den Managed Lustre-Ressourcenanbieter erforderlich sind. |
| 104 | Regelname | 443 | TCP | VirtualNetwork |
GuestAndHybridManagement |
Zulassen | Ermöglicht den Zugriff auf GuestAndHybridManagement , damit der Dienst Azure Log Analytics für Workflows zur Unterstützung verwenden kann. |
| 105 | Regelname | 443 | TCP | VirtualNetwork |
ApiManagement.EastUS |
Zulassen | Ermöglicht den Zugriff auf ApiManagement zur Sicherstellung der Sicherheit und Leistung von Managed Lustre-Interaktionen mit anderen Diensten. |
| 106 | Regelname | 443 | TCP | VirtualNetwork |
AzureDataLake |
Zulassen | Ermöglicht den Zugriff auf AzureDataLake, damit Sicherheits- und Gesundheitsdienste, die auf der Managed Lustre-Plattform ausgeführt werden, wesentliche Informationen zur Unterstützung der Plattform protokollieren können. |
| 107 | Regelname | 443 | TCP | VirtualNetwork |
AzureResourceManager |
Zulassen | Ermöglicht den Zugriff auf AzureResourceManager für die Bereitstellung und Wartung interner Ressourcen. |
| 108 | Regelname | 988, 1019-1023 | TCP | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | IP-Adresse/CIDR-Bereich für das Verwaltete Lustre-Client-Subnetz | Zulassen | Ermöglicht die wesentlichen Ports für den Managed Lustre-Protokollbetrieb zwischen den Speicherservern und verwalteten Lustre-Client-VMs. |
| 109 | Regelname | 123 | UDP | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | 168.61.215.74/32 |
Zulassen | Ermöglicht den Zugriff auf den Microsoft NTP-Server für die Zeitsynchronisierung von verwalteten Lustre-Speicherservern und Client-VMs. |
| 110 | Regelname | 443 | TCP | VirtualNetwork |
20.34.120.0/21 |
Zulassen | Ermöglicht es Managed Lustre, Telemetrie in seinen Telemetriedienst hochzuladen, damit Azure Engineering Produktsupport bereitstellen kann. |
| 111 | Regelname | Any | Any | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | IP-Adresse/CIDR-Bereich für das Subnetz des verwalteten Lustre-Dateisystems | Zulassen | Ermöglicht verwalteten Lustre-Servern die Kommunikation miteinander innerhalb des Subnetzes. Das System verwendet Port 22 (Secure Shell) während der ersten Bereitstellung und Konfiguration. |
| 112 | Regelname | 443 | TCP | VirtualNetwork |
EventHub |
Zulassen | Ermöglicht den Zugriff auf EventHub, damit Sicherheits- und Überwachungsdienste, die auf der Managed Lustre-Plattform ausgeführt werden, Echtzeit-Systemereignisse speichern können. |
| 1.000 | Regelname | Any | Any | VirtualNetwork |
Internet |
Verweigern | Verweigert ausgehende Datenströme an das Internet. |
| 1010 | Regelname | Any | Any | Any | Any | Verweigern | Alle anderen ausgehenden Flüsse verweigern. |
Die ausgehenden Sicherheitsregeln im Azure-Portal sollten dem folgenden Beispiel ähneln:
Diese Abbildung wird als Beispiel bereitgestellt. Die vollständige Liste der Regeln finden Sie in der vorherigen Tabelle. Passen Sie die Subnetz-IP-Adresse, den CIDR-Bereich und andere Einstellungen für Ihre Bereitstellung an.