Нужно ли открывать правило межсетевого экрана Azure NSG и правило межсетевого экрана VM одновременно
VM1 должен общаться с VM2 через порт 4567 (в Azure). Обе VMS находятся в одной подсети. Могу ли я просто создать входящее правило на NSG, подключенном к обоим Vms, которое говорит, что открытый порт 4567? Будет ли это работать?
Или мне также нужно войти на обе виртуальные машины и настроить правила брандмауэра?
Как правильно настроить это? с точки зрения наилучшей практики.
2 ответа
Да, вам нужно, потому что NSG не обращается к вашей виртуальной машине, чтобы изменить настройки на ней. NSG - это брандмауэр уровня Azure.
В Azure есть модель NSG уровня подсети или сетевого интерфейса с моделью ARM. Обычно мы просто используем NSG уровня подсети, который будет действовать на всех виртуальных машинах в одной подсети. Если виртуальные машины в той же подсети, по умолчанию, трафик от виртуальных машин может проходить через NSG друг к другу, поскольку существует правило AllowVnetInBound.
Брандмауэр Windows - это еще один брандмауэр внутри виртуальных машин. Вы можете настроить это или не настраивать это. Предложите настроить его для большей безопасности. Если вы хотите открыть порт 4567 из разговора VM1 с VM2, вам нужно открыть его только в правиле брандмауэра VM, если вы его настроили.
Ссылка: Группы безопасности сети Azure (NSG) - лучшие практики и извлеченные уроки