Azure 网络安全组与路由表
Azure Network Security Group Vs Route Tables
这里是网络新手。从文档来看,感觉 NSG 和路由表 (UDR) 都在做同样的事情——能够在多个级别(Vnet、子网、VM)定义 ACL
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-group-how-it-works
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview
那么它们有何不同,分别在什么时候使用?
谢谢。
Azure 自动为 Azure 虚拟网络中的每个子网创建路由 table,并将系统默认路由添加到 table。路由 table 就像一张网络地图,告诉流量从一个地方到另一个地方的下一跳。这会生成“路径”但不会过滤流量。
Azure 网络安全组用于过滤进出 Azure 虚拟网络中 Azure 资源的网络流量。它包含允许或拒绝多种类型的 Azure 资源的入站网络流量或出站网络流量的安全规则。如果没有从子网到一个地方的路由,甚至不需要配置安全规则,因为没有路径。因此,当您考虑 NSG 时,它应该具有成功的网络路由。
例如,通常情况下,我们可以通过互联网上的 SSH 或 RDP 访问 Azure 虚拟网络中的 Azure VM,但暴露端口 22 或 3389 的安全性较低。我们可以通过以下方式限制对 Azure VM 的访问在 NSG 中指定源 IP 地址。此设置仅允许来自特定 IP 地址或 IP 地址范围的流量连接到 VM。阅读更多详细信息 here。在这种情况下,我们需要确保存在从 Azure 虚拟网络到 Internet 的路由,反之亦然。
这里是网络新手。从文档来看,感觉 NSG 和路由表 (UDR) 都在做同样的事情——能够在多个级别(Vnet、子网、VM)定义 ACL
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-group-how-it-works https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-udr-overview
那么它们有何不同,分别在什么时候使用?
谢谢。
Azure 自动为 Azure 虚拟网络中的每个子网创建路由 table,并将系统默认路由添加到 table。路由 table 就像一张网络地图,告诉流量从一个地方到另一个地方的下一跳。这会生成“路径”但不会过滤流量。
Azure 网络安全组用于过滤进出 Azure 虚拟网络中 Azure 资源的网络流量。它包含允许或拒绝多种类型的 Azure 资源的入站网络流量或出站网络流量的安全规则。如果没有从子网到一个地方的路由,甚至不需要配置安全规则,因为没有路径。因此,当您考虑 NSG 时,它应该具有成功的网络路由。
例如,通常情况下,我们可以通过互联网上的 SSH 或 RDP 访问 Azure 虚拟网络中的 Azure VM,但暴露端口 22 或 3389 的安全性较低。我们可以通过以下方式限制对 Azure VM 的访问在 NSG 中指定源 IP 地址。此设置仅允许来自特定 IP 地址或 IP 地址范围的流量连接到 VM。阅读更多详细信息 here。在这种情况下,我们需要确保存在从 Azure 虚拟网络到 Internet 的路由,反之亦然。