是否需要同时开启Azure NSG防火墙规则和VM防火墙规则
Do I need to open Azure NSG firewall rule and VM firewall rule at the same time
VM1 需要通过端口 4567(在 Azure 中)与 VM2 通信。两个 VMS 都在同一个子网上。我可以只在连接到两个 Vms 的 NSG 上创建一个 inbound 规则,表示打开端口 4567 吗?这行得通吗?
或者我是否还需要登录到两个 VM 并配置防火墙规则?
正确的配置方法是什么?在最佳实践方面。
是的,您必须这样做,因为 NSG 不会与您的 VM 通信以更改其设置。 NSG 是 Azure 级别的防火墙。
Azure 中有 ARM 模型的子网或网络接口级别的 NSG。通常我们只使用子网级别的 NSG,它将对同一子网中的所有 VM 生效。如果 VM 在同一子网中,默认情况下,来自 VM 的流量可以通过 NSG 相互传递,因为存在 AllowVnetInBound 规则。
Windows 防火墙是虚拟机内部的另一个防火墙。您可以配置或不配置它。建议配置它以提高安全性。如果要开放VM1与VM2通话的4567端口,如果已经配置的话,只需要在VM防火墙规则中开放即可。
参考:Azure Network Security Groups (NSG) – Best Practices and Lessons Learned
VM1 需要通过端口 4567(在 Azure 中)与 VM2 通信。两个 VMS 都在同一个子网上。我可以只在连接到两个 Vms 的 NSG 上创建一个 inbound 规则,表示打开端口 4567 吗?这行得通吗?
或者我是否还需要登录到两个 VM 并配置防火墙规则?
正确的配置方法是什么?在最佳实践方面。
是的,您必须这样做,因为 NSG 不会与您的 VM 通信以更改其设置。 NSG 是 Azure 级别的防火墙。
Azure 中有 ARM 模型的子网或网络接口级别的 NSG。通常我们只使用子网级别的 NSG,它将对同一子网中的所有 VM 生效。如果 VM 在同一子网中,默认情况下,来自 VM 的流量可以通过 NSG 相互传递,因为存在 AllowVnetInBound 规则。
Windows 防火墙是虚拟机内部的另一个防火墙。您可以配置或不配置它。建议配置它以提高安全性。如果要开放VM1与VM2通话的4567端口,如果已经配置的话,只需要在VM防火墙规则中开放即可。
参考:Azure Network Security Groups (NSG) – Best Practices and Lessons Learned