网络新手在这里。从文档中感觉 NSG 和路由表 (UDR) 都在做同样的事情 - 能够在多个级别(Vnet、子网、VM)定义 ACL
https://docs.microsoft.com/en-us/azure/virtual-network/network-security-group-how-it-works https://docs.microsoft.com/en-us/azure/virtual-network /virtual-networks-udr-overview
那么它们有何不同以及何时使用?
谢谢。
Azure 会自动为 Azure 虚拟网络中的每个子网创建一个路由表,并将系统默认路由添加到该表中。路由表就像一张网络地图,它告诉流量从一个地方到另一个地方通过下一跳。这会生成“路径”,但不会过滤流量。
Azure 网络安全组用于筛选出入 Azure 虚拟网络中 Azure 资源的网络流量。它包含允许或拒绝入站网络流量或来自几种 Azure 资源的出站网络流量的安全规则。如果没有从子网到某个地方的路由,你甚至不需要配置安全规则,因为没有路径。因此,当您考虑 NSG 时,它应该具有成功的网络路由。
例如,通常我们可以通过 Internet 上的 SSH 或 RDP 访问 Azure 虚拟网络中的 Azure VM,但公开端口 22 或 3389 的方式不太安全。我们可以通过指定源 IP 地址来限制对 Azure VM 的访问在核供应国集团。此设置仅允许来自特定 IP 地址或 IP 地址范围的流量连接到 VM。在此处阅读更多详细信息。在这种情况下,我们需要确保有一条从您的 Azure 虚拟网络到 Internet 的路由,反之亦然。