У меня есть виртуальная машина Azure IaaS Windows 2012R2, на которой размещен тестовый веб-сайт. Сайт доступен извне по имени хоста.
Что мне нужно сделать, чтобы разрешить доступ к тому же сайту по IP-адресу? Когда я пытаюсь пропинговать IP-адрес, я получаю сообщение:
Request timed out.
Когда я пытаюсь пропинговать рабочее имя хоста сайта, я получаю
Pinging myhostname.com [nnn.nnn.nnn.nnn] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
На виртуальной машине я попытался включить File and Printer Sharing (Echo Request ICMPv4 - In)
. Я также следил эти шаги включить IP and Domain Restrictions
, хотя я не уверен, что это необходимо? Я также попытался отключить брандмауэр Windows, но это ничего не помогло. Я перезапустил виртуальную машину.
Azure блокирует ICMP по умолчанию на стороне Azure Load Balancer, поэтому вы не можете проверить связь с виртуальными машинами Azure извне Azure. Обоснование этого состоит в том, чтобы избежать любых целевых атак Ping / ICMP flood, которые являются типом DDoS-атак.
Однако вы можете легко включить ICMP и проверить связь с виртуальной машиной Azure вне Azure. Вам необходимо разрешить входящий ICMPv4 в брандмауэре Win Server, а затем настроить правило для входящего трафика NSG в Azure для приема трафика от «любого» источника, «любого» пункта назначения и «любого» протокола. После этого Ping будет нормально работать для доступа к виртуальным машинам Azure из Интернета.
Я делал это много раз для подключения внешних инструментов мониторинга, таких как Nagios, к моим виртуальным машинам Win Srv.
Если вы используете последнюю версию Win Srv 2016, вы увидите в своем брандмауэре Win отключенное правило с именем «Мониторинг виртуальной машины» (ICMPv4), которое вам просто нужно затем включить. Однако в этом случае вам также необходимо открыть входящий трафик в Azure NSG, как описано выше.
Более того, вы можете проверить связь с виртуальной машиной Azure как с использованием IP, так и с помощью набора DNS.
Но знайте, что следуя процедуре, которую я описал выше, вы оставите свои виртуальные машины уязвимыми для атак Ping / ICMP flood.
Тем не менее, служба безопасности периметра Azure в любом случае вмешается раньше, чем позже, при обнаружении любых таких атак наводнения и, вероятно, предпримет такие действия, как занесение в черный список исходных IP-адресов (откуда происходят пинги) и другие подобные меры. Вы также можете увидеть, как Azure ограничивает весь / любой трафик для ваших виртуальных машин, если ситуация не исправлена вами (или службой поддержки Azure), с даже уведомлениями, поступающими от службы поддержки Azure, чтобы помочь решить основные проблемы.
Короче говоря, не включайте ICMP вслепую на виртуальных машинах Azure. Если вам известны исходные IP-адреса, откуда будет поступать запрос, укажите их в группах безопасности сети (что я бы сделал всегда) и избегайте указания «Любой» в источнике входящего трафика NSG.
HTH…
Балансировщик нагрузки Azure не поддерживает PING (ICMP), поэтому вы не можете проверить связь с IP-адресом своей виртуальной машины. Для этого вы можете использовать инструменты ping на основе tcp. Примечание. Вы сможете отправлять эхо-запросы между виртуальными машинами внутри (через внутренний IP-адрес каждой виртуальной машины), если они развернуты в одной виртуальной сети / облачной службе.
Однако вы можете получить доступ к своей виртуальной машине по IP-адресу.