我们有多个位置,它们都需要访问同一个 Azure vnet。我有一个用于私有 DMZ 的网络安全组,需要允许端口 22、80、443、445、3306、3389、8080、8443、8843、8880 和其他几个端口。
我发现 Azure 中的 4096 条规则限制很快就满了。
由于源 IP 始终是我们的网络,那么只允许每个源的所有 IP 并将每个站点的 35-40 条规则减少到每条 1 条会产生什么影响呢?我们的 Linux 主机也使用 iptables,并且有更深入的策略来限制源 IP 的端口。
答案1
Azure NSG 支持Source IP address range+ Destination port range。
但是目前 IP 地址范围仅支持一个范围,如果您有多个 IP 地址范围,则需要创建多个 NSG 规则。因此,如果可能的话,我建议您合并 IP 地址段,这将减少您的 NSG 规则。