Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Le VM classiche verranno ritirate il 1° marzo 2023.
Se si usano risorse IaaS di ASM, completare la migrazione entro il 1° marzo 2023. Ti invitiamo a effettuare il passaggio prima per sfruttare i numerosi miglioramenti delle funzionalità in Azure Resource Manager.
Per altre informazioni, vedere Eseguire la migrazione delle risorse IaaS ad Azure Resource Manager entro il 1° marzo 2023.
Le macchine virtuali Windows create in Azure usando il modello di distribuzione classica possono comunicare automaticamente tramite un canale di rete privato con altre macchine virtuali nello stesso servizio cloud o nella stessa rete virtuale. Tuttavia, i computer su Internet o altre reti virtuali richiedono endpoint per indirizzare il traffico di rete in ingresso a una macchina virtuale.
È anche possibile configurare gli endpoint nelle macchine virtuali Linux.
Importante
Azure offre due modelli di distribuzione per creare e usare le risorse: Gestione risorse e la distribuzione classica. Questo articolo illustra il modello di distribuzione classica. Microsoft consiglia di usare il modello di Gestione risorse per le distribuzioni più recenti.
A partire dal 15 novembre 2017, le macchine virtuali saranno disponibili solo nel portale di Azure.
Nel modello di distribuzione Resource Manager gli endpoint vengono configurati usando i gruppi di sicurezza di rete.In the Resource Manager deployment model, endpoints are configured by using Network Security Groups (NSG). Per altre informazioni, vedere Consentire l'accesso esterno alla macchina virtuale usando il portale di Azure.
Quando si crea una macchina virtuale Windows nel portale di Azure, gli endpoint comuni, ad esempio gli endpoint per Desktop remoto e La comunicazione remota di Windows PowerShell, vengono in genere creati automaticamente. È possibile configurare altri endpoint in un secondo momento in base alle esigenze.
Ogni endpoint ha una porta pubblica e una porta privata:
- La porta pubblica viene usata dal servizio di bilanciamento del carico di Azure per ascoltare il traffico in ingresso verso la macchina virtuale da Internet.
- La porta privata viene usata dalla macchina virtuale per ascoltare il traffico in ingresso, in genere destinato a un'applicazione o a un servizio in esecuzione nella macchina virtuale.
I valori predefiniti per il protocollo IP e le porte TCP o UDP per i protocolli di rete noti vengono forniti quando si creano endpoint con il portale di Azure. Per gli endpoint personalizzati, specificare il protocollo IP corretto (TCP o UDP) e le porte pubbliche e private. Per distribuire il traffico in ingresso in modo casuale tra più macchine virtuali, creare un set con carico bilanciato costituito da più endpoint.
Dopo aver creato un endpoint, è possibile usare un elenco di controllo di accesso (ACL) per definire regole che consentono o negano il traffico in ingresso verso la porta pubblica dell'endpoint in base al relativo indirizzo IP di origine. Tuttavia, se la macchina virtuale si trova in una rete virtuale di Azure, usare invece i gruppi di sicurezza di rete. Per altre informazioni, vedere Informazioni sui gruppi di sicurezza di rete.
Annotazioni
La configurazione del firewall per le macchine virtuali di Azure viene eseguita automaticamente per le porte associate agli endpoint di connettività remota che Azure configura automaticamente. Per le porte specificate per tutti gli altri endpoint, nessuna configurazione viene eseguita automaticamente al firewall della macchina virtuale. Quando si crea un endpoint per la macchina virtuale, assicurarsi che il firewall della macchina virtuale consenta anche il traffico per il protocollo e la porta privata corrispondente alla configurazione dell'endpoint. Per configurare il firewall, vedere la documentazione o la Guida in linea per il sistema operativo in esecuzione nella macchina virtuale.
Creare un endpoint
Accedere al portale di Azure.
Selezionare Macchine virtuali e quindi selezionare la macchina virtuale da configurare.
Selezionare Endpoint nel gruppo Impostazioni . Viene visualizzata la pagina Endpoint , che elenca tutti gli endpoint correnti per la macchina virtuale. Questo esempio è relativo a una macchina virtuale Windows. Per impostazione predefinita, una macchina virtuale Linux mostrerà un endpoint per SSH.
Nella barra dei comandi sopra le voci dell'endpoint selezionare Aggiungi. Appare la pagina Aggiungi endpoint.
In Nome immettere un nome per l'endpoint.
Per Protocollo scegliere TCP o UDP.
In Porta pubblica immettere il numero di porta per il traffico in ingresso da Internet.
In Porta privata immettere il numero di porta in cui la macchina virtuale è in ascolto. I numeri di porta pubblici e privati possono essere diversi. Assicurarsi che il firewall nella macchina virtuale sia stato configurato per consentire il traffico corrispondente al protocollo e alla porta privata.
Seleziona OK.
Il nuovo endpoint è elencato nella pagina Endpoint .
Gestire l'ACL su un endpoint
Per definire il set di computer che possono inviare traffico, l'ACL in un endpoint può limitare il traffico in base all'indirizzo IP di origine. Seguire questa procedura per aggiungere, modificare o rimuovere un elenco di controllo di accesso in un endpoint.
Annotazioni
Se l'endpoint fa parte di un set con carico bilanciato, tutte le modifiche apportate all'ACL in un endpoint vengono applicate a tutti gli endpoint nel set.
Se la macchina virtuale si trova in una rete virtuale di Azure, usare i gruppi di sicurezza di rete anziché gli elenchi di controllo di accesso. Per altre informazioni, vedere Informazioni sui gruppi di sicurezza di rete.
Accedere al portale di Azure.
Selezionare Macchine virtuali e quindi selezionare il nome della macchina virtuale da configurare.
Seleziona Endpoints. Nell'elenco degli endpoint selezionare l'endpoint appropriato. L'elenco ACL si trova nella parte inferiore della pagina.
Usare le righe nell'elenco per aggiungere, eliminare o modificare le regole di un ACL e cambiarne l'ordine. Il valore REMOTE SUBNET è un intervallo di indirizzi IP per il traffico in ingresso da Internet usato dal servizio di bilanciamento del carico di Azure per consentire o negare il traffico in base all'indirizzo IP di origine. Assicurarsi di specificare l'intervallo di indirizzi IP nel formato CIDR (Classless Inter-Domain Routing), noto anche come formato prefisso indirizzo. Ad esempio:
10.1.0.0/8.
È possibile usare le regole per consentire solo il traffico da computer specifici corrispondenti ai computer su Internet o negare il traffico da intervalli di indirizzi noti specifici.
Le regole vengono valutate in ordine a partire dalla prima regola e terminano con l'ultima regola. Pertanto, le regole devono essere ordinate dal meno restrittivo al più restrittivo. Per altre informazioni, vedere Che cos'è un elenco di controllo di accesso di rete.
Passaggi successivi
- Per usare un cmdlet di Azure PowerShell per configurare un endpoint di macchina virtuale, vedere Add-AzureEndpoint.
- Per usare un cmdlet di Azure PowerShell per gestire un elenco di controllo di accesso in un endpoint, vedere Gestione degli elenchi di controllo di accesso (ACL) per gli endpoint tramite PowerShell.
- Se è stata creata una macchina virtuale nel modello di distribuzione Resource Manager, è possibile usare Azure PowerShell per creare gruppi di sicurezza di rete per controllare il traffico verso la macchina virtuale.