Нужно ли открывать правило межсетевого экрана Azure NSG и правило межсетевого экрана VM одновременно

VM1 должен общаться с VM2 через порт 4567 (в Azure). Обе VMS находятся в одной подсети. Могу ли я просто создать входящее правило на NSG, подключенном к обоим Vms, которое говорит, что открытый порт 4567? Будет ли это работать?

Или мне также нужно войти на обе виртуальные машины и настроить правила брандмауэра?

Как правильно настроить это? с точки зрения наилучшей практики.

2 ответа

Решение

Да, вам нужно, потому что NSG не обращается к вашей виртуальной машине, чтобы изменить настройки на ней. NSG - это брандмауэр уровня Azure.

В Azure есть модель NSG уровня подсети или сетевого интерфейса с моделью ARM. Обычно мы просто используем NSG уровня подсети, который будет действовать на всех виртуальных машинах в одной подсети. Если виртуальные машины в той же подсети, по умолчанию, трафик от виртуальных машин может проходить через NSG друг к другу, поскольку существует правило AllowVnetInBound.

Брандмауэр Windows - это еще один брандмауэр внутри виртуальных машин. Вы можете настроить это или не настраивать это. Предложите настроить его для большей безопасности. Если вы хотите открыть порт 4567 из разговора VM1 с VM2, вам нужно открыть его только в правиле брандмауэра VM, если вы его настроили.

Ссылка: Группы безопасности сети Azure (NSG) - лучшие практики и извлеченные уроки

Другие вопросы по тегам