Свяжите группу безопасности сети (NSG) с подсетью

У меня возникли трудности при создании VNET / подсети. Я также использую ASE и для этого могу использовать только классическую виртуальную сеть.

Azure предлагает два типа виртуальной сети. В зависимости от того, как вы его создаете (через портал Azure, xplat-cli, старый портал, powershell), эта виртуальная сеть может быть «классической» (обозначенной значком «‹ ...> »синим цветом) или« диспетчером ресурсов (обозначенной значком значок «‹ ...> »зеленого цвета).

Насколько я понимаю, не представляется возможным назначить NSG классической виртуальной сети. Означает ли это, что у меня не может быть NSG поверх моей ASE (потому что ASE можно создать только поверх классических виртуальных сетей)? Это не кажется правильным ...


azure ase associate
person Cesar    schedule 10.09.2015    source источник

Ответы (3)


arrow_upward
1
arrow_downward

Предполагая, что вы используете Powershell, Set-AzureNetworkSecurityGroupToSubnet командлет в режиме управления службами свяжет NSG с подсетью.

Обновление:

PS> Switch-AzureMode AzureServiceManagement
PS> (Get-AzureVNetSite -VNetName "Group vnetnsg vnetnsg").Subnets

Name     AddressPrefix ExtensionData
----     ------------- -------------
default  10.0.0.0/24
subnet-1 10.0.1.0/24

PS> New-AzureNetworkSecurityGroup -Name "NsgOnSubnet" -Location "West Europe"

Name        Location    Label
----        --------    -----
NsgOnSubnet West Europe

PS> Set-AzureNetworkSecurityGroupToSubnet -Name NsgOnSubnet -VirtualNetworkName "Group vnetnsg vnetnsg" -SubnetName "subnet-1"
PS> Get-AzureNetworkSecurityGroupAssociation -VirtualNetworkName "Group vnetnsg vnetnsg" -SubnetName "subnet-1"

Name        Location    Label
----        --------    -----
NsgOnSubnet West Europe
person MrBink    schedule 10.09.2015
comment
Эта команда работает, только если виртуальная сеть является диспетчером ресурсов. В моем случае мне нужно связать NSG с подсетью, для которой VNET была создана как Classic. - person Cesar; 11.09.2015
comment
См. Обновление, например, в управлении услугами, то есть в классических виртуальных сетях. Предоставьте команды, которые вы выполняете, если вы не можете связать группу безопасности сети с подсетью в виртуальной сети. - person MrBink; 11.09.2015
comment
Используя данные командлеты PowerShell, он работает! Кажется, это единственный возможный способ настроить его сейчас (с помощью PowerShell). Параметры NSG доступны только через портал, когда виртуальная сеть создана как классическая. Интересно, разрабатывается ли он еще в Microsoft… Мне нужно использовать несколько способов настройки Azure, чтобы моя среда работала. Некоторые функции специфичны для PowerShell, xplat-cli, старого лазурного портала или предварительного просмотра лазурного портала ... Что плохо: / Thx, MrBink. - person Cesar; 11.09.2015
comment
Порталы определенно находятся в постоянном движении. В настоящее время клиенты CLI, то есть Azure PowerShell и xplat-cli, предлагают наиболее согласованный опыт и все возможности Azure, несмотря на различия между режимами ASM и ARM. Я бы порекомендовал потратить некоторое время на изучение инструментов CLI - это принесет дивиденды, когда вы начнете автоматизировать среду. - person MrBink; 11.09.2015

arrow_upward
1
arrow_downward

В этой статье Microsoft объясняется, где группы безопасности сети может применяться как в классическом, так и в ARM-методах развертывания, и ни один из них не определяет всю виртуальную сеть; ближайший вариант - это подсеть, которая должна обеспечивать те же функции; даже если вам нужно применить одну и ту же группу безопасности сети к нескольким подсетям, если у вас их несколько.

Если вы хотите заблокировать трафик между виртуальными машинами в одной подсети, вам необходимо применить группу безопасности сети к виртуальной машине (классическая) или сетевой карте (ARM).

здесь в котором показано, как настраивать группы безопасности сети и применять их к подсетям. Если вы хотите сделать то же самое с сетевым адаптером, см. Фрагмент ниже (предполагается, что группа безопасности сети уже создана):

{
  "apiVersion": "2015-06-15",
  "type": "Microsoft.Network/networkInterfaces",
  "name": "nicName",
  "location": "[resourceGroup().location]",
  "properties": {
    "ipConfigurations": [
      {
        "name": "yourNICName",
        "properties": {
          "networkSecurityGroup": {
            "id": "[resourceId('Microsoft.Network/networkSecurityGroups', parameters('yourNSGName'))]"
          },
          "privateIPAllocationMethod": "Dynamic",
          "subnet": {
            "id": "[variables('yourSubnetRef')]"
          }
        }
      }
    ]
  }
},
person AndyHerb    schedule 16.02.2016

arrow_upward
1
arrow_downward

Для VNET и группы сетевой безопасности, созданной с использованием модели развертывания Resource Manager

New-AzureRmResourceGroup -Name TestResourceGroup -Location centralus
$frontendSubnet = New-AzureRmVirtualNetworkSubnetConfig -Name frontendSubnet -AddressPrefix "10.0.1.0/24"

$virtualNetwork = New-AzureRmVirtualNetwork -Name MyVirtualNetwork -ResourceGroupName TestResourceGroup -Location
centralus -AddressPrefix "10.0.0.0/16" -Subnet $frontendSubnet

$rdpRule = New-AzureRmNetworkSecurityRuleConfig -Name rdp-rule -Description "Allow RDP" -Access Allow -Protocol
Tcp -Direction Inbound -Priority 100 -SourceAddressPrefix Internet -SourcePortRange * -DestinationAddressPrefix *
-DestinationPortRange 3389

$networkSecurityGroup = New-AzureRmNetworkSecurityGroup -ResourceGroupName TestResourceGroup -Location centralus
-Name "NSG-FrontEnd" -SecurityRules $rdpRule

Set-AzureRmVirtualNetworkSubnetConfig -Name frontendSubnet -VirtualNetwork $virtualNetwork -AddressPrefix
"10.0.1.0/24" -NetworkSecurityGroup $networkSecurityGroup
$virtualNetwork | Set-AzureRmVirtualNetwork

В этом примере создается группа ресурсов с одной виртуальной сетью, содержащей только одну подсеть. Затем он создает группу безопасности сети с разрешающим правилом для трафика RDP. Командлет Set-AzureRmVirtualNetworkSubnetConfig используется для изменения представления подсети внешнего интерфейса в памяти таким образом, чтобы оно указывало на вновь созданную группу безопасности сети. Затем вызывается командлет Set-AzureRmVirtualNetwork для записи измененного состояния обратно в службу.

person Samir    schedule 28.07.2016