У меня есть виртуальная машина Azure IaaS Windows 2012R2, на которой размещен тестовый веб-сайт. Сайт доступен извне по имени хоста.
Что мне нужно сделать, чтобы разрешить доступ к тому же сайту по IP-адресу? Когда я пытаюсь выполнить эхо-запрос IP-адреса, я получаю сообщение:
Request timed out.
Когда я пытаюсь выполнить эхо-запрос рабочего имени узла для сайта, я получаю
Pinging myhostname.com [nnn.nnn.nnn.nnn] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
На виртуальной машине я пытался включить общий доступ к файлам и принтерам (эхо-запрос ICMPv4 - In)
. Я также выполнил эти шаги , чтобы включить ограничения IP и домена
, хотя я не уверен, что это необходимо?
Я также попытался отключить брандмауэр Windows, но это ничего не помогло. Я перезапустил виртуальную машину.
Балансировщик нагрузки Azure не поддерживает PING (ICMP), поэтому вы не можете проверить связь с IP-адресом своей виртуальной машины. Для этого вы можете использовать инструменты ping на основе tcp. Примечание. Вы сможете выполнять эхо-запросы между виртуальными машинами внутри (через внутренний IP-адрес каждой виртуальной машины), если они развернуты в одной и той же vnet / облачной службе.
Однако вы можете получить доступ к своей виртуальной машине по IP-адресу.
Azure по умолчанию блокирует ICMP на стороне Azure Load Balancer, поэтому вы не можете проверить связь с виртуальными машинами Azure извне Azure. Обоснование этого состоит в том, чтобы избежать любых целевых атак Ping / ICMP flood, которые являются типом DDoS-атак.
Однако вы можете легко включить ICMP и Ping для виртуальной машины Azure вне Azure. Вам необходимо разрешить входящий ICMPv4 в брандмауэре Win Server, а затем настроить правило для входящего трафика NSG в Azure для приема трафика от «любого» источника, «любого» пункта назначения и «любого» протокола. После этого Ping будет нормально работать для доступа к виртуальным машинам Azure из Интернета.
Я делал это много раз для подключения внешних инструментов мониторинга, таких как Nagios, к моим виртуальным машинам Win Srv.
Если вы используете последнюю версию Win Srv 2016, вы увидите в своем брандмауэре Win отключенное правило с именем Virtual Machine Мониторинг (ICMPv4), который вам просто нужно включить. Однако в этом случае вам также необходимо открыть входящий трафик в Azure NSG, как описано выше.
И, кроме того, вы можете проверить связь с виртуальной машиной Azure, используя как IP-адрес, так и набор DNS.
Но знайте, что следуя процедуре I как описано выше, вы оставите свои виртуальные машины уязвимыми для атак Ping / ICMP flood.
Тем не менее, служба безопасности периметра Azure в любом случае вмешается раньше, чем позже, при обнаружении любых таких атак наводнения и, вероятно, предпримет такие действия, как занесение в черный список исходных IP-адресов (откуда отправляются запросы Ping) и другие подобные меры. Вы также можете увидеть, как Azure ограничивает весь / любой трафик для ваших виртуальных машин, если ситуация не будет исправлена вами (или службой поддержки Azure), с даже уведомлениями, поступающими от службы поддержки Azure, чтобы помочь решить основные проблемы.
Короче говоря, не включайте ICMP вслепую на ваших виртуальных машинах Azure. Если вам известны исходные IP-адреса, откуда будет поступать запрос, укажите их в группах безопасности сети (что я бы сделал всегда) и избегайте указания «Любой» во входящем источнике NSG.
HTH…