%20%E7%9A%84%E5%AE%89%E5%85%A8%E8%A7%84%E5%88%99%E9%80%89%E6%8B%A9.png)
假设我有一个 Azure VM(在 ARM 中),其 NIC 与多个 NSG 关联。此外,NIC 的 IP 位于具有多个 NSG 的子网中。我想知道,入站流量的安全规则选择如何工作:
- 来自同一子网的入站流量。
- 来自不同子网(同一虚拟网络)的入站流量
- 来自互联网的入站流量。
我还对您关于这种设置的实用性的看法很感兴趣。
答案1
首先要说的是,一个 NIC 一次只能与一个 NSG 关联,一个子网一次只能与一个 NSG 关联。
假设您有一个具有单个 NIC 的虚拟机,它连接到子网,并且它们都具有与之关联的 NSG。
对于入站流量,首先检查与子网关联的 NSG,并且流量必须能够通过其入站规则。如果流量通过与子网关联的 NSG 的入站规则,则检查与 VM 的 NIC 关联的 NSG,流量必须通过此 NSG 的规则才能进入 VM。
对于出站流量,情况也一样,只是反过来。还请注意,无论 NSG 怎么说,基于主机的防火墙可能仍会阻止流量。
您可以在这里找到更多信息:
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-create-nsg-arm-pportal