Azure网络安全组与路由表
网络新手在这里。从文档中感觉 NSG 和路由表(UDR)都在做同样的事情 - 能够在多个级别(Vnet、子网、VM)定义 ACL
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-group-how-it-works
https://docs.microsoft.com/en-us/azure/virtual-network /virtual-networks-udr-overview
那么它们有何不同以及何时使用?
谢谢。
回答
Azure 会自动为 Azure 虚拟网络中的每个子网创建一个路由表,并将系统默认路由添加到该表中。路由表就像一张网络地图,它告诉通过下一跳从一个地方到另一个地方的流量。这会生成“路径”,但不会过滤流量。
Azure 网络安全组用于过滤进出 Azure 虚拟网络中的 Azure 资源的网络流量。它包含允许或拒绝多种类型的 Azure 资源的入站网络流量或来自这些资源的出站网络流量的安全规则。如果一个子网没有到一个地方的路由,你甚至不需要配置安全规则,因为没有路径。因此,当您考虑 NSG 时,它应该具有成功的网络路由。
例如,通常,我们可以通过 Internet 上的 SSH 或 RDP 访问 Azure 虚拟网络中的 Azure VM,但是公开端口 22 或 3389 的安全性较低。我们可以通过指定源 IP 地址来限制对 Azure VM 的访问在 NSG 中。此设置仅允许来自特定 IP 地址或 IP 地址范围的流量连接到 VM。在此处阅读更多详细信息。在这种情况下,我们需要确保有一条从 Azure 虚拟网络到 Internet 的路由,反之亦然。