L'utilisation d'un NSG pour contrôler les types de trafic réseau pouvant accéder aux cartes réseau d'une VM est recommandée par Microsoft Azure. Par défaut, la première exécution de l'assistant Importer une machine virtuelle à partir de Marketplace d'Horizon Universal Console pour un espace Horizon Cloud spécifique crée un NSG dans le même groupe de ressources que la VM et attache la carte réseau de la VM résultante à ce NSG. Lors de la prochaine exécution de l'assistant, si vous avez choisi de créer une adresse IP publique lors de cette exécution initiale, le système attache la VM suivante à ce même NSG ou crée un second NSG. Les règles de ces NSG déterminent le trafic autorisé vers les VM importées créées par l'assistant.
Comme décrit dans la documentation de Microsoft Azure, un groupe de sécurité réseau gère dans Microsoft Azure le trafic réseau vers les ressources connectées aux réseaux virtuels (VNet) Azure. Un groupe de sécurité réseau définit les règles de sécurité qui autorisent ou empêchent le trafic réseau. Pour plus d'informations sur la manière dont les NSG filtrent le trafic réseau, reportez-vous à la rubrique Filtrer le trafic réseau avec des groupes de sécurité réseau de la documentation Microsoft Azure. Microsoft Azure crée automatiquement des règles par défaut dans chaque NSG au moment de sa création. Dans chaque NSG créé, Microsoft Azure crée des règles de trafic entrant et sortant à la priorité 65000 et suivantes. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure lorsqu'un utilisateur ou un système crée un NSG dans Microsoft Azure. Ces règles ne sont pas créées par Horizon Cloud. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.
Lorsque le workflow Importer une machine virtuelle à partir de Marketplace s'exécute, le système crée ces NSG dans le même groupe de ressources que celui dans lequel la VM importée est créée. Pour voir le modèle d'attribution de nom utilisé pour le groupe de ressources de l'espace dans lequel l'assistant crée les VM, reportez-vous à la section Locataires de première génération - Groupes de ressources créés pour un espace déployé dans Microsoft Azure.
Avec Activer une adresse IP publique
Lorsque l'option Activer l'adresse IP publique de l'assistant est activée pendant la création des VM, activée, le système les attache au NSG nommé HCS-Imported-VM-NSG
. Outre les règles par défaut créées par Microsoft Azure dans tous les NSG, ce NSG dispose d'une règle entrante qui autorise le trafic entrant à l'aide du port RDP. Comme l'objectif de l'option Activer l'adresse IP publique consiste à vous donner la possibilité de vous connecter à la VM sur l'Internet public, afin de pouvoir personnaliser la VM, cette règle entrante vous permet de vous connecter à la VM via Internet à l'aide de RDP.
Priorité | Nom | Port | Protocole | Source | Destination | Action |
---|---|---|---|---|---|---|
300 | AllowRDP | 3 389 | TCP | Toutes | Toutes | Autoriser |
Sans Activer une adresse IP publique
Lorsque l'option Activer l'adresse IP publique de l'assistant est désactivée pendant la création des VM, le système les attache au NSG nommé HCS-Imported-VM-NSG-Basic
. Ce NSG ne contient que les règles par défaut créées par Microsoft Azure lors de la création d'un NSG. Ces règles Microsoft Azure par défaut ne sont pas décrites dans cette rubrique de la documentation, car elles sont créées automatiquement par Microsoft Azure. Pour plus d'informations sur ces règles par défaut, reportez-vous à la rubrique Règles de sécurité par défaut dans la documentation de Microsoft Azure.