我正在使用 Azure,我有 2 个 VNET,每个 VNET 都有自己的资源组
Peering
+
|
|
|
|
+------------------------------+ | +-------------------------------------+
| Test Resource Group | | | Prod Resource Group |
| | | | |
| +----------------------+ | v | +-----------------------------+ |
| | Test VNET | | | | Prod VNET | |
| | <--------------------+ | |
| | | | | | | |
| | +--------------------> | |
| | | | | | | |
| | | | | | | |
| +----------------------+ | | +-----------------------------+ |
| | | |
+------------------------------+ +-------------------------------------+
我想要做的是锁定对等,使得 VNET 之间的流量被限制到特定 VM 上的特定端口,而不会影响任何现有的防火墙规则。
在子网中添加 NSG(网络安全组)可以让我做到这一点吗?
答案1
根据您的要求,网络安全组是限制网络访问的内置方法之一。如果您有日志记录要求,他们还有防火墙设备可供使用。
NSG 的最佳实践是对您的网络施加更一般的限制,并对虚拟机的 NIC 施加更细粒度的限制。规划一下您希望如何设置它,阅读一些最佳实践,你就会成功。