Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von großer Bedeutung
Klassische VMs werden am 1. März 2023 vom Dienst genommen.
Wenn Sie IaaS-Ressourcen von ASM verwenden, schließen Sie Ihre Migration bis zum 1. März 2023 ab. Es wird empfohlen, den Wechsel früher vorzunehmen, um die vielen verbesserten Features in Azure Resource Manager zu nutzen.
Weitere Informationen finden Sie unter Migrieren Ihrer IaaS-Ressourcen bis zum 1. März 2023 zu Azure Resource Manager.
Virtuelle Windows-Computer (VMs), die Sie in Azure mithilfe des klassischen Bereitstellungsmodells erstellen, können automatisch über einen privaten Netzwerkkanal mit anderen virtuellen Computern im selben Clouddienst oder virtuellen Netzwerk kommunizieren. Computer im Internet oder in anderen virtuellen Netzwerken erfordern jedoch Endpunkte, um den eingehenden Netzwerkdatenverkehr an einen virtuellen Computer zu leiten.
Sie können Endpunkte auch auf virtuellen Linux-Computern einrichten.
Von großer Bedeutung
Azure verfügt über zwei verschiedene Bereitstellungsmodelle für das Erstellen und Verwenden von Ressourcen: das Resource Manager-Modell und das klassische Bereitstellungsmodell. In diesem Artikel wird das klassische Bereitstellungsmodell behandelt. Microsoft empfiehlt für die meisten neuen Bereitstellungen die Verwendung des Ressourcen-Manager-Modells.
Seit dem 15. November 2017 sind virtuelle Computer nur noch im Azure-Portal verfügbar.
Im Ressourcen-Manager-Bereitstellungsmodell werden Endpunkte mithilfe von Netzwerksicherheitsgruppen (Network Security Groups, NSGs) konfiguriert. Weitere Informationen finden Sie unter Zulassen des externen Zugriffs auf Ihren virtuellen Computer mithilfe des Azure-Portals.
Wenn Sie eine Windows-VM im Azure-Portal erstellen, werden häufig verwendete Endpunkte wie Endpunkte für Remotedesktop und Windows PowerShell Remoting in der Regel automatisch für Sie erstellt. Sie können weitere Endpunkte später nach Bedarf konfigurieren.
Jeder Endpunkt verfügt über einen öffentlichen Port und einen privaten Port:
- Der öffentliche Port wird vom Azure-Lastenausgleich verwendet, um auf eingehenden Datenverkehr aus dem Internet zu lauschen, der an den virtuellen Computer gerichtet ist.
- Der private Port wird vom virtuellen Computer verwendet, um eingehenden Datenverkehr zu überwachen, in der Regel an eine Anwendung oder einen Dienst, der auf dem virtuellen Computer ausgeführt wird.
Standardwerte für das IP-Protokoll und TCP- oder UDP-Ports für bekannte Netzwerkprotokolle werden bereitgestellt, wenn Sie Endpunkte mit dem Azure-Portal erstellen. Geben Sie für benutzerdefinierte Endpunkte das richtige IP-Protokoll (TCP oder UDP) und die öffentlichen und privaten Ports an. Um eingehenden Datenverkehr zufällig auf mehreren virtuellen Computern zu verteilen, erstellen Sie eine Lastenausgleichsgruppe, die aus mehreren Endpunkten zusammengesetzt ist.
Nachdem Sie einen Endpunkt erstellt haben, können Sie eine Zugriffssteuerungsliste (Access Control List, ACL) verwenden, um Regeln zu definieren, die den eingehenden Datenverkehr an den öffentlichen Port des Endpunkts basierend auf seiner Quell-IP-Adresse zulassen oder verweigern. Wenn sich der virtuelle Computer jedoch in einem virtuellen Azure-Netzwerk befindet, verwenden Sie stattdessen Netzwerksicherheitsgruppen. Weitere Informationen finden Sie unter "Informationen zu Netzwerksicherheitsgruppen".
Hinweis
Die Firewallkonfiguration für Azure-VMs wird automatisch durchgeführt für die Ports, die den von Azure eingerichteten Remotekonnektivitätsendpunkten zugeordnet sind. Bei Ports, die für alle anderen Endpunkte angegeben sind, erfolgt keine automatische Konfiguration der Firewall des virtuellen Computers. Stellen Sie beim Erstellen eines Endpunkts für den virtuellen Computer sicher, dass die Firewall des virtuellen Computers auch den Datenverkehr für das Protokoll und den privaten Port zulässt, der der Endpunktkonfiguration entspricht. Informationen zum Konfigurieren der Firewall finden Sie in der Dokumentation oder in der Onlinehilfe für das Betriebssystem, das auf dem virtuellen Computer ausgeführt wird.
Erstellen eines Endpunkts
Melden Sie sich beim Azure-Portal an.
Wählen Sie virtuelle Computer und dann den virtuellen Computer aus, den Sie konfigurieren möchten.
Wählen Sie "Endpunkte " in der Gruppe "Einstellungen" aus. Die Seite "Endpunkte " wird angezeigt, auf der alle aktuellen Endpunkte für den virtuellen Computer aufgelistet sind. (Dieses Beispiel ist für eine Windows-VM vorgesehen. Eine Linux-VM zeigt standardmäßig einen Endpunkt für SSH an.)
Wählen Sie in der Befehlsleiste oberhalb der Endpunkteinträge "Hinzufügen" aus. Die Seite " Endpunkt hinzufügen " wird angezeigt.
Geben Sie für "Name" einen Namen für den Endpunkt ein.
Wählen Sie für Protokoll entweder TCP oder UDP aus.
Geben Sie für den öffentlichen Port die Portnummer für den eingehenden Datenverkehr aus dem Internet ein.
Geben Sie für den privaten Port die Portnummer ein, auf der der virtuelle Computer lauscht. Die öffentlichen und privaten Portnummern können unterschiedlich sein. Stellen Sie sicher, dass die Firewall auf dem virtuellen Computer konfiguriert wurde, um den Datenverkehr zuzulassen, der dem Protokoll und dem privaten Port entspricht.
Wählen Sie OK aus.
Der neue Endpunkt wird auf der Seite "Endpunkte " aufgeführt.
ACL auf einem Endpunkt verwalten
Um den Satz von Computern zu definieren, die Datenverkehr senden können, kann die ACL auf einem Endpunkt den Datenverkehr basierend auf der Quell-IP-Adresse einschränken. Führen Sie die folgenden Schritte aus, um eine ACL auf einem Endpunkt hinzuzufügen, zu ändern oder zu entfernen.
Hinweis
Wenn der Endpunkt Teil eines Lastenausgleichssatzes ist, werden alle Änderungen, die Sie an der ACL an einem Endpunkt vornehmen, auf alle Endpunkte im Satz angewendet.
Wenn sich der virtuelle Computer in einem virtuellen Azure-Netzwerk befindet, verwenden Sie Netzwerksicherheitsgruppen anstelle von ACLs. Weitere Informationen finden Sie unter "Informationen zu Netzwerksicherheitsgruppen".
Melden Sie sich beim Azure-Portal an.
Wählen Sie virtuelle Computer aus, und wählen Sie dann den Namen des virtuellen Computers aus, den Sie konfigurieren möchten.
Wählen Sie Endpunkte. Wählen Sie in der Endpunktliste den entsprechenden Endpunkt aus. Die ACL-Liste befindet sich unten auf der Seite.
Verwenden Sie Zeilen in der Liste, um Regeln für eine ACL hinzuzufügen, zu löschen oder zu bearbeiten und deren Reihenfolge zu ändern. Der REMOTE SUBNET-Wert ist ein IP-Adressbereich für eingehenden Datenverkehr aus dem Internet, den der Azure-Lastenausgleich verwendet, um den Datenverkehr basierend auf dessen Quell-IP-Adresse zuzulassen oder zu verweigern. Achten Sie darauf, den IP-Adressbereich im CIDR-Format (Classless Inter Domain Routing) anzugeben, das auch als Adresspräfixformat bezeichnet wird. Beispiel:
10.1.0.0/8.
Sie können Regeln verwenden, um nur Datenverkehr von bestimmten Computern zuzulassen, die Ihren Computern im Internet entsprechen, oder um den Datenverkehr von bestimmten bekannten Adressbereichen zu verweigern.
Die Regeln werden in der Reihenfolge ausgewertet, die mit der ersten Regel beginnt und mit der letzten Regel endet. Daher sollten Regeln von den am wenigsten restriktiv bis restriktivsten angeordnet werden. Weitere Informationen finden Sie unter "Was ist eine Netzwerkzugriffssteuerungsliste".
Nächste Schritte
- Informationen zum Verwenden eines Azure PowerShell-Cmdlets zum Einrichten eines VM-Endpunkts finden Sie unter "Add-AzureEndpoint".
- Informationen zum Verwenden eines Azure PowerShell-Cmdlets zum Verwalten einer ACL auf einem Endpunkt finden Sie unter Verwalten von Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) für Endpunkte mithilfe von PowerShell.
- Wenn Sie einen virtuellen Computer im Ressourcen-Manager-Bereitstellungsmodell erstellt haben, können Sie Azure PowerShell verwenden, um Netzwerksicherheitsgruppen zu erstellen , um den Datenverkehr an die VM zu steuern.