Azure NSG 专用 IP 配置(白名单)Vnet 到 Vnet 通信

Azure NSG Private IP Congfiguration (WhiteList)Vnet to Vnet communication

我有这样的情况,我想为其他 Vnet(定义了私有 IP 范围)打开我的 Vnet(比如说 Vnet1),我正在考虑使用 NSG 规则并允许其他 Vnet 的私有 IP 范围(比如说Vnet2、Vnet3) 到托管我的 API 网关的入口点子网(在 Vnet1 中)。 我有两个问题:

  1. 我认为使用私有 IP 地址并允许它们使用 NSG(属于 Vnet 1/子网 1)应该可行吗?我不是在寻找 Vnet 的 peering/s2s vpn,因为它们都属于不同的团队,Vnet2/Vnet3 只是想使用 Api 网关访问 Vnet1 的 API。

  2. 是否存在我们预见到的任何安全问题,我认为公开是安全的,因为这些是私有 IP,无法从互联网访问。

请告诉我关于可行性和安全性的意见。

谢谢 Xslguy

为了帮助可能遇到相同情况的其他人,请在评论中提取有用的信息并写下我的答案。

Azure VNet 是 Azure 云专用于您的订阅的逻辑隔离。 VNet 对等允许两个 VNet 之间的流量仅通过 Microsoft 的专用网络路由。如果 VNET 没有对等,vnet1 将不会使用私有 IP 连接到 vnet2 中的资源,而是使用 vnet2 中资源的 public IP。在这种情况下,我们需要在附加到子网的 NSG 中限制入站规则的源 public IP。使用 VNet 对等互连,您还可以通过将源专用 IP 用于附加到子网的 NSG 中的入站规则来限制从一个子网到另一个子网的访问。

来自Security rules

If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic.