Configurer les paramètres réseau des machines virtuelles Azure

  • 5 minutes

Nous avons installé notre logiciel personnalisé, configuré un serveur FTP et configuré la machine virtuelle pour recevoir nos fichiers vidéo. Toutefois, si nous essayons de nous connecter à notre adresse IP publique avec FTP, nous constatons qu’il est bloqué.

Effectuer des ajustements à la configuration du serveur est généralement effectué avec l’équipement dans votre environnement local. Dans ce sens, vous pouvez considérer les machines virtuelles Azure comme une extension de cet environnement. Vous pouvez apporter des modifications de configuration, gérer des réseaux, ouvrir ou bloquer le trafic, et bien plus encore via le portail Azure, Azure CLI ou les outils Azure PowerShell.

Vous avez déjà vu certaines des options de base d’informations et de gestion dans le volet Vue d’ensemble de la machine virtuelle. Examinons un peu plus la configuration du réseau.

Ouvrir des ports dans des machines virtuelles Azure

Par défaut, les nouvelles machines virtuelles sont verrouillées.

Les applications peuvent effectuer des requêtes sortantes, mais le seul trafic entrant autorisé provient du réseau virtuel (par exemple, d’autres ressources sur le même réseau local) et de l’équilibreur de charge d’Azure (vérifications de sonde).

Il existe deux étapes pour ajuster la configuration pour prendre en charge FTP. Lorsque vous créez une machine virtuelle, vous avez la possibilité d’ouvrir quelques ports courants (RDP, HTTP, HTTPS et SSH). Toutefois, si vous avez besoin d’autres modifications apportées au pare-feu, vous devez les apporter vous-même.

Ce processus se déroule en deux étapes :

  1. Créez un groupe de sécurité réseau.
  2. Créez une règle de trafic entrant autorisant le trafic sur le port 20 et 21 pour la prise en charge FTP active.

Qu’est-ce qu’un groupe de sécurité réseau ?

Les réseaux virtuels sont la base du modèle de mise en réseau Azure et fournissent une isolation et une protection. Les groupes de sécurité réseau (NSG) sont l’outil principal que vous utilisez pour appliquer et contrôler les règles de trafic réseau au niveau réseau. Les groupes de sécurité réseau sont une couche de sécurité facultative qui fournit un pare-feu logiciel en filtrant le trafic entrant et sortant sur le réseau virtuel.

Les groupes de sécurité peuvent être associés à une interface réseau (pour les règles par hôte), à un sous-réseau du réseau virtuel (à appliquer à plusieurs ressources) ou aux deux niveaux.

Règles de groupe de sécurité

Les groupes de sécurité réseau utilisent des règles pour autoriser ou refuser le trafic transitant par le réseau. Chaque règle identifie l’adresse source et de destination (ou plage), le protocole, le port (ou la plage), la direction (entrante ou sortante), une priorité numérique et s’il faut autoriser ou refuser le trafic qui correspond à la règle. L’illustration suivante montre les règles de groupe de sécurité réseau appliquées au niveau du sous-réseau et de l’interface réseau.

Illustration montrant les GSRs dans deux sous-réseaux différents. Un sous-réseau a deux machines virtuelles avec un ensemble de règles qui s’appliquent à la fois aux machines virtuelles et des règles uniques pour chaque NIC.

Chaque groupe de sécurité a un ensemble de règles de sécurité par défaut pour appliquer les règles de réseau par défaut décrites dans le passage précédent. Vous ne pouvez pas modifier ces règles par défaut, mais vous pouvez les remplacer.

Utilisation des règles réseau par Azure

Pour le trafic entrant, Azure traite le groupe de sécurité associé au sous-réseau, puis le groupe de sécurité appliqué à l’interface réseau. Le trafic sortant est traité dans l’ordre opposé (l’interface réseau commence par le sous-réseau).

Avertissement

N’oubliez pas que les groupes de sécurité sont facultatifs aux deux niveaux. Si aucun groupe de sécurité n’est appliqué, tout le trafic est autorisé par Azure. Si la machine virtuelle a une adresse IP publique, il peut s’agir d’un risque grave, en particulier si le système d’exploitation ne fournit pas un certain type de pare-feu.

Les règles sont évaluées dans l’ordre de priorité, en commençant par la règle de priorité la plus basse . Les règles de refus arrêtent toujours l’évaluation. Par exemple, si une demande sortante est bloquée par une règle d’interface réseau, toutes les règles appliquées au sous-réseau ne sont pas vérifiées. Pour que le trafic soit autorisé via le groupe de sécurité, il doit passer par tous les groupes appliqués.

La dernière règle est toujours une règle Refuser tout . Il s’agit d’une règle par défaut ajoutée à chaque groupe de sécurité pour le trafic entrant et sortant avec une priorité de 65500. Cela signifie que pour que le trafic passe par le groupe de sécurité, vous devez avoir une règle d’autorisation ou la règle finale par défaut la bloquera. En savoir plus sur les règles de sécurité.

Remarque

SMTP (port 25) est un cas spécial. En fonction du niveau de votre abonnement et de la création de votre compte, le trafic SMTP sortant peut être bloqué. Vous pouvez effectuer une demande de suppression de cette restriction avec une justification métier.