Konfigurieren von Netzwerkeinstellungen für virtuelle Azure-Computer

  • 5 Minuten

Wir haben unsere benutzerdefinierte Software installiert, einen FTP-Server eingerichtet und die VM für den Empfang unserer Videodateien konfiguriert. Wenn wir jedoch versuchen, eine Verbindung mit unserer öffentlichen IP-Adresse mit FTP herzustellen, stellen wir fest, dass sie blockiert ist.

Anpassungen an der Serverkonfiguration werden häufig mit Geräten in Ihrer lokalen Umgebung durchgeführt. In diesem Sinne können Sie Azure-VMs als Erweiterung dieser Umgebung betrachten. Sie können Konfigurationsänderungen vornehmen, Netzwerke verwalten, Den Datenverkehr öffnen oder blockieren und vieles mehr über das Azure-Portal, die Azure CLI oder die Azure PowerShell-Tools.

Sie haben bereits einige der grundlegenden Informationen und Verwaltungsoptionen im Übersichtsbereich für den virtuellen Computer gesehen. Sehen wir uns die Netzwerkkonfiguration etwas mehr an.

Öffnen von Ports in Azure-VMs

Standardmäßig sind neue VMs gesperrt.

Apps können ausgehende Anforderungen stellen, aber der einzige zulässige eingehende Datenverkehr stammt aus dem virtuellen Netzwerk (z. B. andere Ressourcen im selben lokalen Netzwerk) und vom Azure Load Balancer (Probeprüfungen).

Es gibt zwei Schritte zum Anpassen der Konfiguration zur Unterstützung von FTP. Wenn Sie einen neuen virtuellen Computer erstellen, haben Sie die Möglichkeit, einige gängige Ports (RDP, HTTP, HTTPS und SSH) zu öffnen. Wenn Sie jedoch andere Änderungen an der Firewall benötigen, müssen Sie sie selbst vornehmen.

Der Prozess hierfür umfasst zwei Schritte:

  1. Erstellen Sie eine Netzwerksicherheitsgruppe.
  2. Erstellen einer Eingangsregel für eine aktive FTP-Unterstützung, die Datenverkehr an den Ports 20 und 21 zulässt.

Was ist eine Netzwerksicherheitsgruppe?

Virtuelle Netzwerke (VNets) sind die Grundlage des Azure-Netzwerkmodells und bieten Isolation und Schutz. Netzwerksicherheitsgruppen (Network Security Groups, NSGs) sind das Haupttool, das Sie zum Erzwingen und Steuern von Netzwerkdatenverkehrsregeln auf Netzwerkebene verwenden. NSGs sind eine optionale Sicherheitsebene, die eine Softwarefirewall bereitstellt, indem eingehender und ausgehender Datenverkehr im VNet gefiltert wird.

Sicherheitsgruppen können einer Netzwerkschnittstelle (für Hostregeln), einem Subnetz im virtuellen Netzwerk (für mehrere Ressourcen) oder beiden Ebenen zugeordnet werden.

Sicherheitsgruppenregeln

NSGs verwenden Regeln, um den Datenverkehr, der durch das Netzwerk fließt, zuzulassen oder zu verweigern. Jede Regel identifiziert die Quell- und Zieladresse (oder den Bereich), das Protokoll, den Port (oder den Bereich), die Richtung (eingehend oder ausgehend), eine numerische Priorität und ob der Datenverkehr zugelassen oder verweigert werden soll, der der Regel entspricht. Die folgende Abbildung zeigt NSG-Regeln, die auf Subnetz- und Netzwerkschnittstellenebene angewendet werden.

Abbildung der Architektur von Netzwerksicherheitsgruppen in zwei verschiedenen Subnetzen. In einem Subnetz gibt es zwei virtuelle Computer mit jeweils eigenen Netzwerkschnittstellenregeln. Das Subnetz selbst verfügt über eine Reihe von Regeln, die für beide virtuellen Computer gelten.

Jede Sicherheitsgruppe verfügt über eine Reihe von Standardsicherheitsregeln, um die in der vorherigen Passage beschriebenen Standardnetzwerkregeln anzuwenden. Sie können diese Standardregeln nicht ändern, aber Sie können sie außer Kraft setzen.

Verwendung von Netzwerkregeln in Azure

Bei eingehendem Datenverkehr verarbeitet Azure die dem Subnetz zugeordnete Sicherheitsgruppe und dann die Sicherheitsgruppe, die auf die Netzwerkschnittstelle angewendet wurde. Ausgehender Datenverkehr wird in der entgegengesetzten Reihenfolge verarbeitet (zuerst die Netzwerkschnittstelle, gefolgt vom Subnetz).

Warnung

Beachten Sie, dass Sicherheitsgruppen auf beiden Ebenen optional sind. Wenn keine Sicherheitsgruppe angewendet wird, ist der gesamte Datenverkehr von Azure zulässig. Wenn der virtuelle Computer über eine öffentliche IP verfügt, kann dies ein schwerwiegendes Risiko sein, insbesondere, wenn das Betriebssystem keine Art von Firewall bereitstellt.

Die Regeln werden in der Prioritätsreihenfolge ausgewertet, beginnend mit der Regel mit der niedrigsten Priorität . Ablehnungsregeln beenden die Auswertung immer. Wenn beispielsweise eine ausgehende Anforderung durch eine Netzwerkschnittstellenregel blockiert wird, werden alle auf das Subnetz angewendeten Regeln nicht überprüft. Damit die Sicherheitsgruppe Datenverkehr zulässt, muss dieser alle angewendeten Gruppen durchlaufen.

Die letzte Regel ist immer eine Deny All-Regel. Es handelt sich dabei um eine Standardregel, die sämtlichen Sicherheitsgruppen für eingehenden und ausgehenden Datenverkehr mit einer Priorität von 65500 hinzugefügt wird. Dies bedeutet, dass Sie über eine Zulassungsregel verfügen müssen, damit der Datenverkehr die Sicherheitsgruppe durchlaufen kann. Andernfalls wird er von der letzten Standardregel blockiert. Weitere Informationen zu Sicherheitsregeln.

Hinweis

SMTP (Port 25) ist ein Sonderfall. Abhängig von Ihrer Abonnementebene und davon, wann Ihr Konto erstellt wurde, könnte ausgehender SMTP-Datenverkehr blockiert sein. Sie können eine Anforderung stellen, diese Einschränkung mit geschäftlicher Begründung zu entfernen.