为 Azure 托管 Lustre 配置网络安全组

可以将网络安全组配置为筛选 Azure 虚拟网络中进出 Azure 资源的入站和出站网络流量。网络安全组可以包含按 IP 地址、端口和协议筛选网络流量的安全规则。当网络安全组与某个子网关联时，安全规则将应用于该子网中部署的资源。

本文介绍如何配置网络安全组规则，以保护对 Azure 托管 Lustre 文件系统群集的访问，作为零信任策略的一部分。

先决条件

Azure 订阅。如果没有 Azure 订阅，请在开始之前创建一个免费帐户。
为支持 Azure 托管 Lustre 文件系统而配置子网的虚拟网络。若要了解详细信息，请参阅网络先决条件。
部署在 Azure 订阅中的 Azure 托管 Lustre 文件系统。若要了解详细信息，请参阅创建 Azure 托管 Lustre 文件系统。

创建和配置网络安全组

若要在 Azure 门户中创建网络安全组，请执行以下作：

在门户搜索框中，输入 网络安全组，然后选择 “网络安全组”。
选择创建。

在“ 创建网络安全组 ”窗格的“ 基本信息 ”选项卡上，输入或选择以下值：

设置	操作
项目详细信息
Subscription	选择 Azure 订阅。
资源组	选择现有的资源组，或选择“新建”以创建新的资源组。此示例使用 sample-rg 资源组。
实例详细信息
网络安全组名称	输入网络安全组的名称。
Region	选择要使用的 Azure 区域。

选择“查看 + 创建”。
验证通过后，选择“ 创建”。

将网络安全组与子网相关联

创建网络安全组后，可以将它关联到 Azure 托管 Lustre 文件系统所在的虚拟网络中的唯一子网。

若要使用 Azure 门户将网络安全组关联到子网，请执行以下作：

在门户搜索框中，输入 网络安全组，然后选择 “网络安全组”。
选择网络安全组的名称，然后选择 “子网”。
若要将网络安全组关联到子网，请选择“ 关联”。然后选择虚拟网络和子网以关联网络安全组。
选择“确定”。

配置网络安全组规则

配置网络安全组时，请务必符合提供的准则。如果正确设置了网络安全组，托管 Lustre 会运行托管 Lustre 协议、工程和诊断支持、Azure Blob 存储和安全监视等基本服务。禁用这些基本服务中的任何一项可能会导致产品和支持体验下降。

若要为 Azure 托管 Lustre 文件系统支持配置网络安全组规则，请将入站和出站安全规则添加到与托管 Lustre 子网关联的网络安全组。以下部分介绍如何为 Azure 托管 Lustre 文件系统支持创建和配置入站和出站安全规则。

注意

本部分所述的安全规则基于美国东部区域中的 Azure 托管 Lustre 文件系统测试部署，并启用了 Blob 存储集成。调整托管 Lustre 文件系统的部署区域、虚拟网络子网 IP 地址和其他配置设置的规则。

创建入站安全规则

以下示例演示如何在 Azure 门户中创建和配置新的入站安全规则。

在 Azure 门户中，转到网络安全组资源。
在“设置”下，选择“入站安全规则”。
在命令栏上，选择“ 添加”。
在 “添加入站安全规则 ”窗格中，配置规则的设置，然后选择“ 添加”。

将以下入站规则添加到网络安全组。有关所有 Azure 服务标记的说明，请参阅 Azure 服务标记概述。

优先级	名称	港口	协议	源	目标	操作	说明
110	rule-name	任意	任意	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	允许	允许托管 Lustre 主机之间的流量流用于文件系统活动。系统还需要 TCP 端口 22（安全外壳）进行初始部署和配置。
111	rule-name	988， 1019 到 1023	TCP	用于托管 Lustre 客户端子网的 IP 地址/CIDR 范围	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	允许	允许托管 Lustre 客户端与所有托管 Lustre 存储节点进行文件系统活动的交互。 Azure 托管 Lustre 文件系统协议需要端口 988 和 1019 到 1023。
112	rule-name	任意	TCP	`AzureMonitor`	`VirtualNetwork`	允许	`AzureMonitor`允许服务检测托管 Lustre 服务主机的运行状况或安全问题。
120	rule-name	任意	任意	任意	任意	拒绝	拒绝所有其他入站流。

Azure 门户中的入站安全规则应类似于以下示例：

该图以示例的形式提供。有关规则的完整列表，请参阅上表。调整部署的子网 IP 地址、CIDR 范围和其他设置。

创建出站安全规则

若要创建和配置新的出站安全规则，请执行以下作：

在 Azure 门户中，打开网络安全组资源。
在设置下，选择出站安全规则。
在命令栏上，选择“ 添加”。
在 “添加出站安全规则 ”窗格中，配置规则的设置，然后选择“ 添加”。

将以下出站规则和网络服务标记添加到网络安全组。有关所有 Azure 服务标记的说明，请参阅 Azure 服务标记概述。

优先级	名称	港口	协议	源	目标	操作	说明
100	rule-name	443	TCP	`VirtualNetwork`	`AzureMonitor`	允许	允许`AzureMonitor`服务报告由托管 Lustre 服务主机诊断的健康和安全问题。
101	rule-name	443	TCP	`VirtualNetwork`	`AzureKeyVault.EastUS`	允许	允许访问 `AzureKeyVault` 网络服务，以便于存储运行和存储访问所需的基本安全机密。
102	rule-name	443	TCP	`VirtualNetwork`	`AzureActiveDirectory`	允许	允许访问 `AzureActiveDirectory`，用于部署和支持活动期间的安全 Microsoft Entra ID 服务。
103	rule-name	443	TCP	`VirtualNetwork`	`Storage.EastUS`	允许	允许访问托管 Lustre 资源提供程序所需的存储帐户端点，这些端点用于托管 Lustre 硬件安全模块、系统健康信号及其他通信流。
104	rule-name	443	TCP	`VirtualNetwork`	`GuestAndHybridManagement`	允许	允许访问 `GuestAndHybridManagement` ，以便该服务可以使用 Azure Log Analytics 实现可支持性工作流。
105	rule-name	443	TCP	`VirtualNetwork`	`ApiManagement.EastUS`	允许	允许访问 `ApiManagement`，以确保托管 Lustre 与其他服务交互的安全性和性能。
106	rule-name	443	TCP	`VirtualNetwork`	`AzureDataLake`	允许	允许访问 `AzureDataLake` ，以便托管 Lustre 平台上运行的安全和健康服务能够记录平台支持性的基本信息。
107	rule-name	443	TCP	`VirtualNetwork`	`AzureResourceManager`	允许	为部署和维护内部资源允许访问 `AzureResourceManager`。
108	rule-name	988, 1019-1023	TCP	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	用于托管 Lustre 客户端子网的 IP 地址/CIDR 范围	允许	允许在存储服务器与托管 Lustre 客户端 VM 之间的托管 Lustre 协议操作所需的基本端口。
109	rule-name	123	UDP	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	`168.61.215.74/32`	允许	允许访问 Microsoft NTP 服务器，以便对托管 Lustre 存储服务器和客户端 VM 进行时间同步。
110	rule-name	443	TCP	`VirtualNetwork`	`20.34.120.0/21`	允许	允许 Managed Lustre 将遥测上传到其遥测服务，以便 Azure 工程可以提供产品支持。
111	rule-name	任意	任意	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	托管 Lustre 文件系统子网的 IP 地址/CIDR 范围	允许	允许托管 Lustre 服务器在子网中相互通信。系统在初始部署和配置期间使用端口 22（安全外壳）。
112	rule-name	443	TCP	`VirtualNetwork`	`EventHub`	允许	允许访问 `EventHub` ，以便托管 Lustre 平台上运行的安全和监视服务可以存储实时系统事件。
1000	rule-name	任意	任意	`VirtualNetwork`	`Internet`	拒绝	拒绝流向因特网的出站流量。
1010	rule-name	任意	任意	任意	任意	拒绝	拒绝所有其他出站流。

Azure 门户中的出站安全规则应类似于以下示例：

此图以示例的形式提供。有关规则的完整列表，请参阅上表。调整部署的子网 IP 地址、CIDR 范围和其他设置。

反馈

此页面是否有帮助？

Last updated on 2025-11-07