Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Les machines virtuelles classiques seront mises hors service le 1er mars 2023.
Si vous utilisez des ressources IaaS provenant d’ASM, veuillez terminez votre migration avant le 1er mars 2023. Nous vous encourageons à effectuer le basculement plus tôt plus pour tirer parti des nombreuses fonctionnalités améliorées d’Azure Resource Manager.
Pour plus d’informations, consultez Migrez vos ressources IaaS vers Azure Resource Manager avant le 1er mars 2023.
Toutes les machines virtuelles Linux que vous créez dans Azure à l’aide du modèle de déploiement classique peuvent communiquer automatiquement sur un canal de réseau privé avec d’autres machines virtuelles du même service cloud ou réseau virtuel. Toutefois, les ordinateurs sur Internet ou d’autres réseaux virtuels nécessitent des points de terminaison pour diriger le trafic réseau entrant vers une machine virtuelle. Cet article est également disponible pour les machines virtuelles Windows.
Remarque
Azure a deux modèles de déploiement différents pour créer et utiliser des ressources : Resource Manager et classique. Cet article traite du modèle de déploiement classique. Pour la plupart des nouveaux déploiements, Microsoft recommande d’utiliser le modèle Resource Manager.
Depuis le 15 novembre 2017, les machines virtuelles ne sont plus disponibles que sur le Portail Azure.
Dans le modèle de déploiement Resource Manager, les points de terminaison sont configurés à l’aide de groupes de sécurité réseau (NSG). Pour plus d’informations, consultez Ouverture de ports et de points de terminaison.
Lorsque vous créez une machine virtuelle Linux dans le portail Azure, un point de terminaison pour Secure Shell (SSH) est généralement créé automatiquement pour vous. Vous pouvez configurer des points de terminaison supplémentaires lors de la création de la machine virtuelle ou ultérieurement en fonction des besoins.
Chaque point de terminaison a un port public et un port privé :
- Le port public est utilisé par l’équilibreur de charge Azure pour écouter le trafic entrant vers la machine virtuelle à partir d’Internet.
- Le port privé est utilisé par la machine virtuelle pour écouter le trafic entrant, généralement destiné à une application ou un service s’exécutant sur la machine virtuelle.
Les valeurs par défaut pour le protocole IP et les ports TCP ou UDP pour les protocoles réseau connus sont fournies lorsque vous créez des points de terminaison avec le portail Azure. Pour les points de terminaison personnalisés, spécifiez le protocole IP approprié (TCP ou UDP) et les ports publics et privés. Pour distribuer le trafic entrant de manière aléatoire sur plusieurs machines virtuelles, créez un ensemble à répartition de charge composé de plusieurs endpoints.
Après avoir créé un point de terminaison, vous pouvez utiliser une liste de contrôle d’accès (ACL) pour définir des règles qui autorisent ou refusent le trafic entrant vers le port public du point de terminaison en fonction de son adresse IP source. Toutefois, si la machine virtuelle se trouve dans un réseau virtuel Azure, utilisez plutôt des groupes de sécurité réseau. Pour plus d’informations, consultez À propos des groupes de sécurité réseau.
Remarque
La configuration du pare-feu pour les machines virtuelles Azure est effectuée automatiquement pour les ports associés aux points de terminaison de connectivité à distance qu’Azure configure automatiquement. Pour les ports spécifiés pour tous les autres points de terminaison, aucune configuration n’est effectuée automatiquement sur le pare-feu de la machine virtuelle. Lorsque vous créez un point de terminaison pour la machine virtuelle, assurez-vous que le pare-feu de la machine virtuelle autorise également le trafic pour le protocole et le port privé correspondant à la configuration du point de terminaison. Pour configurer le pare-feu, consultez la documentation ou l’aide en ligne du système d’exploitation s’exécutant sur la machine virtuelle.
Créer un point de terminaison
Connectez-vous au portail Azure.
Sélectionnez Machines virtuelles, puis sélectionnez la machine virtuelle que vous souhaitez configurer.
Sélectionnez Points de terminaison dans le groupe Paramètres . La page Points de terminaison s’affiche, qui répertorie tous les points de terminaison actuels de la machine virtuelle. (Cet exemple concerne une machine virtuelle Windows. Une machine virtuelle Linux affiche par défaut un point de terminaison pour SSH.)
Dans la barre de commandes au-dessus des entrées de point de terminaison, sélectionnez Ajouter. La page Ajouter un point de terminaison s’affiche.
Pour Nom, entrez un nom pour le point de terminaison.
Pour le protocole, choisissez TCP ou UDP.
Pour le port public, entrez le numéro de port du trafic entrant à partir d’Internet.
Pour le port privé, entrez le numéro de port sur lequel la machine virtuelle écoute. Les numéros de port public et privé peuvent être différents. Vérifiez que le pare-feu sur la machine virtuelle a été configuré pour autoriser le trafic correspondant au protocole et au port privé.
Cliquez sur OK.
Le nouveau point de terminaison est répertorié dans la page Points de terminaison .
Gérer la liste de contrôle d'accès sur une terminaison
Pour définir l’ensemble d’ordinateurs qui peuvent envoyer du trafic, la liste de contrôle d’accès sur un point de terminaison peut restreindre le trafic en fonction de l’adresse IP source. Suivez ces étapes pour ajouter, modifier ou supprimer une liste de contrôle d’accès sur un point de terminaison.
Remarque
Si le point de terminaison fait partie d'un ensemble équilibré de charges, toutes les modifications apportées à l'ACL sur un point de terminaison sont appliquées à tous les points de terminaison de cet ensemble.
Si la machine virtuelle se trouve dans un réseau virtuel Azure, utilisez des groupes de sécurité réseau au lieu de listes de contrôle d’accès. Pour plus d’informations, consultez À propos des groupes de sécurité réseau.
Connectez-vous au portail Azure.
Sélectionnez Machines virtuelles, puis sélectionnez le nom de la machine virtuelle que vous souhaitez configurer.
Sélectionnez Points de terminaison. Dans la liste des points de terminaison, sélectionnez le point de terminaison approprié. La liste ACL se trouve en bas de la page.
Utilisez les lignes de la liste pour ajouter, supprimer ou modifier les règles d'une liste de contrôle d'accès et en modifier l'ordre. La valeur REMOTE SUBNET est une plage d’adresses IP pour le trafic entrant à partir d’Internet que l’équilibreur de charge Azure utilise pour autoriser ou refuser le trafic en fonction de son adresse IP source. Veillez à spécifier la plage d’adresses IP au format CIDR (Classless Inter-Domain Routing), également appelée format de préfixe d’adresse. Par exemple :
10.1.0.0/8.
Vous pouvez utiliser des règles pour autoriser uniquement le trafic provenant d’ordinateurs spécifiques correspondant à vos ordinateurs sur Internet ou pour refuser le trafic à partir de plages d’adresses connues spécifiques.
Les règles sont évaluées pour commencer par la première règle et se terminer par la dernière règle. Par conséquent, les règles doivent être ordonnées du moins restrictif au plus restrictif. Pour plus d’informations, consultez Présentation d’une liste de contrôle d’accès réseau.
Étapes suivantes
- Vous pouvez également créer un point de terminaison de machine virtuelle à l’aide de l’interface Azure Command-Line. Exécutez la commande de création du point de terminaison de machine virtuelle Azure .
- Si vous avez créé une machine virtuelle dans le modèle de déploiement Resource Manager, vous pouvez utiliser Azure CLI en mode Resource Manager pour créer des groupes de sécurité réseau pour contrôler le trafic vers la machine virtuelle.