Die Verwendung einer NSG zur Steuerung der Arten von Netzwerkdatenverkehr, die auf die Netzwerkkarten einer VM zugreifen können, ist eine Best Practice von Microsoft Azure. Standardmäßig wird bei der ersten Ausführung des Assistenten „Virtuelle Maschine aus Marketplace importieren“ von Horizon Universal Console für einen bestimmten Horizon Cloud-Pod eine NSG in derselben Ressourcengruppe wie die VM erstellt und die Netzwerkkarte der resultierenden VM dieser NSG hinzugefügt. Beim nächsten Durchlauf des Assistenten, je nachdem, ob Sie bei diesem ersten Durchlauf die Erstellung einer öffentlichen IP-Adresse ausgewählt haben, fügt das System die nachfolgende VM derselben NSG zu oder erstellt eine zweite NSG. Die Regeln in diesen NSGs bestimmen den Datenverkehr, der zu den vom Assistenten erstellten importierten VMs zugelassen wird.
Gemäß der Beschreibung in der Microsoft Azure-Dokumentation steuert in Microsoft Azure eine Netzwerksicherheitsgruppe (NSG) den Netzwerkverkehr zu den mit Azure Virtual Networks (VNet) verbundenen Ressourcen. Eine NSG definiert die Sicherheitsregeln, die diesen Netzwerkdatenverkehr zulassen oder verweigern. Weitere Informationen darüber, wie NSGs den Netzwerkdatenverkehr filtern, finden Sie in der Microsoft Azure-Dokumentation im Thema Filtern des Netzwerkdatenverkehrs mit Netzwerksicherheitsgruppen. Bei der Erstellung der einzelnen NSGs erstellt Microsoft Azure automatisch einige Standardregeln darin. In jeder erstellten NSG erstellt Microsoft Azure einige eingehende und ausgehende Regeln mit der Priorität 65000 und höher. Solche Microsoft Azure-Standardregeln werden in diesem Dokumentationsthema nicht beschrieben, da sie von Microsoft Azure automatisch erstellt werden, wenn jemand oder ein System eine NSG in Microsoft Azure erstellt. Diese Regeln werden nicht von Horizon Cloud erstellt. Einzelheiten zu diesen Standardregeln finden Sie im Microsoft Azure-Dokumentationsthema Standard-Sicherheitsregeln.
Wenn der Workflow „Virtuelle Maschine aus Marketplace importieren“ ausgeführt wird, erstellt das System diese NSGs in derselben Ressourcengruppe, in der die importierte VM erstellt wird. Informationen zum Anzeigen des Benennungsmusters für die Ressourcengruppe des Pods, in der der Assistent die VMs erstellt, finden Sie unter First-Gen-Mandanten – Für einen in Microsoft Azure bereitgestellten Pod erstellte Ressourcengruppen.
Mit Öffentliche IP-Adresse aktivieren
Für VMs, die mit der aktivierten Option Öffentliche IP-Adresse aktivieren des Assistenten erstellt wurden, fügt das System diese VMs der NSG mit dem Namen HCS-Imported-VM-NSG
hinzu. Zusätzlich zu den Standardregeln, die von Microsoft Azure in allen NSGs erstellt werden, verfügt diese NSG über eine eingehende Regel, die eingehenden Datenverkehr über den RDP-Port zulässt. Da der Zweck der Option Öffentliche IP-Adresse aktivieren darin besteht, Ihnen die Möglichkeit zu geben, sich über das öffentliche Internet bei der VM anzumelden, um die VM anpassen zu können, bietet Ihnen diese eingehende Regel die Möglichkeit, sich über das Internet mit RDP bei der VM anzumelden.
Priorität | Name | Port | Protokoll | Quelle | Ziel | Aktion |
---|---|---|---|---|---|---|
300 | AllowRDP | 3389 | TCP | Beliebig | Beliebig | Zulassen |
Ohne Öffentliche IP-Adresse aktivieren
Bei VMs, die mit der deaktivierten Option Öffentliche IP-Adresse aktivieren des Assistenten erstellt wurden, fügt das System diese VMs der NSG mit dem Namen HCS-Imported-VM-NSG-Basic
zu. Diese NSG enthält nur die Standardregeln, die von Microsoft Azure beim Anlegen einer NSG erstellt werden. Derartige Microsoft Azure-Standardregeln werden in diesem Dokumentationsthema nicht beschrieben, da Sie von Microsoft Azure automatisch erstellt werden. Einzelheiten zu diesen Standardregeln finden Sie im Microsoft Azure-Dokumentationsthema Standard-Sicherheitsregeln.