溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
1. 什么是NSG?
安全組Network Security Group(簡稱NSG)用來篩選 Azure 虛擬網絡(virtual network)中出入Azure 資源的網絡流量。
NSG 包含安全規則,安全規則是允許或拒絕入站/出站流量的規約。
安全規則可配置的項包含:
| 屬性 | 說明 |
| 名稱 | 網絡安全組中的唯一名稱。 |
| 優先級 | 介于 100 和 4096 之間的數字。 規則按優先順序進行處理。先處理編號較小的規則,因為編號越小,優先級越高。 一旦流量與某個規則匹配,處理即會停止。 因此,不會處理優先級較低(編號較大)的、其屬性與高優先級規則相同的所有規則。 |
| 源或目標 | 可以是任何值,也可以是單個 IP 地址、無類別域際路由 (CIDR) 塊(例如 10.0.0.0/24)、服務標記或應用程序安全組。 服務標記代表給定 Azure 服務中的一組 IP 地址前綴。參見 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview 使用應用程序安全組可將網絡安全性配置為應用程序結構的固有擴展,從而可以基于這些組將虛擬機分組以及定義網絡安全策。 |
| 協議 | TCP、UDP、ICMP 或 Any。 |
| 方向 | 該規則是應用到入站還是出站流量。 |
| 端口范圍 | 可以指定單個端口或端口范圍。 例如,可以指定 80 或 10000-10005。 |
| 操作 | 允許或拒絕 |
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | 任意 | 允許 |
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65001 | AzureLoadBalancer | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 允許 |
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 拒絕 |
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | 任意 | 允許 |
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | 任意 | 允許 |
| 優先級 | Source | 源端口 | 目標 | 目標端口 | 協議 | 訪問 |
| 65500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | 任意 | 拒絕 |
| Category | 服務 |
| 計算 | 虛擬機:Linux 或 Windows 虛擬機規模集 云服務:僅限虛擬網絡(經典) Azure Batch |
| 網絡 | 應用程序網關 - WAF *** 網關 Azure 防火墻 網絡虛擬設備 |
| 數據 | RedisCache Azure SQL 數據庫托管實例 |
| 分析 | Azure HDInsight |
| 容器 | Azure Kubernetes 服務 (AKS) |
| Web | API 管理 應用服務環境 |
受限于Azure 訂閱限制
| 網絡安全組 | 5,000 |
| 每個 NSG 的 NSG 規則數 | 1,000 |
主機節點的虛擬 IP:基本的基礎結構服務(例如 DHCP、DNS、IMDS和運行狀況監視)是通過虛擬化主機 IP 地址 168.63.129.16 和 169.254.169.254 提供的。 這些 IP 地址屬于 Azure,是僅有的用于所有區域的虛擬化 IP 地址,沒有其他用途。
許可(密鑰管理服務) :在虛擬機中運行的 Windows 映像必須獲得許可。 為了確保許可,會向處理此類查詢的密鑰管理服務主機服務器發送請求。 該請求是通過端口 1688 以出站方式提出的。 對于使用默認路由 0.0.0.0/0 配置的部署,此平臺規則會被禁用。
負載均衡池中的虛擬機:應用的源端口和地址范圍來自源計算機,而不是來自負載均衡器。 目標端口和地址范圍是目標計算機的,而不是負載均衡器的。
Azure 服務實例:在虛擬網絡子網中部署了多個 Azure 服務的實例,例如 HDInsight、應用程序服務環境和虛擬機規模集。 在將網絡安全組應用到部署了資源的子網之前,請確保熟悉每個服務的端口要求。 如果拒絕服務所需的端口,服務將無法正常工作。
發送出站電子郵件:Azure 建議利用經過身份驗證的 SMTP 中繼服務(通常通過 TCP 端口 587 進行連接,但也經常使用其他端口)從 Azure 虛擬機發送電子郵件。在 Azure 中使用 SMTP 中繼服務絕不會受限制,不管訂閱類型如何。如果是在 2017 年 11 月 15 日之前創建的 Azure 訂閱,則除了能夠使用 SMTP 中繼服務,還可以直接通過 TCP 端口 25 發送電子郵件。如果是在 2017 年 11 月 15 日之后創建的訂閱,則可能無法直接通過端口 25 發送電子郵件。經端口 25 的出站通信行為取決于訂閱類型,如下所示:
企業協議:允許端口 25 的出站通信。 可以將出站電子郵件直接從虛擬機發送到外部電子郵件提供商,不受 Azure 平臺的限制。
標準預付費套餐:默認阻斷,需提工單解除,
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
