Назад | Перейти на главную страницу

Настройте виртуальную машину Azure IaaS для разрешения доступа по IP

У меня есть виртуальная машина Azure IaaS Windows 2012R2, на которой размещен тестовый веб-сайт. Сайт доступен извне по имени хоста.

Что мне нужно сделать, чтобы разрешить доступ к тому же сайту по IP-адресу? Когда я пытаюсь пропинговать IP-адрес, я получаю сообщение:

Request timed out.

Когда я пытаюсь пропинговать рабочее имя хоста сайта, я получаю

Pinging myhostname.com [nnn.nnn.nnn.nnn] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

На виртуальной машине я попытался включить File and Printer Sharing (Echo Request ICMPv4 - In). Я также следил эти шаги включить IP and Domain Restrictions, хотя я не уверен, что это необходимо? Я также попытался отключить брандмауэр Windows, но это ничего не помогло. Я перезапустил виртуальную машину.

Azure блокирует ICMP по умолчанию на стороне Azure Load Balancer, поэтому вы не можете проверить связь с виртуальными машинами Azure извне Azure. Обоснование этого состоит в том, чтобы избежать любых целевых атак Ping / ICMP flood, которые являются типом DDoS-атак.

Однако вы можете легко включить ICMP и проверить связь с виртуальной машиной Azure вне Azure. Вам необходимо разрешить входящий ICMPv4 в брандмауэре Win Server, а затем настроить правило для входящего трафика NSG в Azure для приема трафика от «любого» источника, «любого» пункта назначения и «любого» протокола. После этого Ping будет нормально работать для доступа к виртуальным машинам Azure из Интернета.

Я делал это много раз для подключения внешних инструментов мониторинга, таких как Nagios, к моим виртуальным машинам Win Srv.

Если вы используете последнюю версию Win Srv 2016, вы увидите в своем брандмауэре Win отключенное правило с именем «Мониторинг виртуальной машины» (ICMPv4), которое вам просто нужно затем включить. Однако в этом случае вам также необходимо открыть входящий трафик в Azure NSG, как описано выше.

Более того, вы можете проверить связь с виртуальной машиной Azure как с использованием IP, так и с помощью набора DNS.

Но знайте, что следуя процедуре, которую я описал выше, вы оставите свои виртуальные машины уязвимыми для атак Ping / ICMP flood.

Тем не менее, служба безопасности периметра Azure в любом случае вмешается раньше, чем позже, при обнаружении любых таких атак наводнения и, вероятно, предпримет такие действия, как занесение в черный список исходных IP-адресов (откуда происходят пинги) и другие подобные меры. Вы также можете увидеть, как Azure ограничивает весь / любой трафик для ваших виртуальных машин, если ситуация не исправлена ​​вами (или службой поддержки Azure), с даже уведомлениями, поступающими от службы поддержки Azure, чтобы помочь решить основные проблемы.

Короче говоря, не включайте ICMP вслепую на виртуальных машинах Azure. Если вам известны исходные IP-адреса, откуда будет поступать запрос, укажите их в группах безопасности сети (что я бы сделал всегда) и избегайте указания «Любой» в источнике входящего трафика NSG.

HTH…

Балансировщик нагрузки Azure не поддерживает PING (ICMP), поэтому вы не можете проверить связь с IP-адресом своей виртуальной машины. Для этого вы можете использовать инструменты ping на основе tcp. Примечание. Вы сможете отправлять эхо-запросы между виртуальными машинами внутри (через внутренний IP-адрес каждой виртуальной машины), если они развернуты в одной виртуальной сети / облачной службе.

Однако вы можете получить доступ к своей виртуальной машине по IP-адресу.