溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
[在此處輸入文章標題]
之前在Azure上,對于網絡安全,用戶自己可以配置VM終結點的ACL ,但是無法針對整個V-NET或定義一個組來配置ACL。
網絡安全組 (NSG) 的出現解決了這個問題,可用于控制指向虛擬網絡中一個或多個虛擬機 (VM) 實例的通信。在NSG中 包含了允許或拒絕指向 VM 實例的流量的訪問控制規則,并且可以隨時更改 NSG 的規則。
備注:
NSG 需要區域 VNet,NSG 與關聯到地緣組的 VNet 不兼容。
一個VM或子網只能關聯一個NSG
目前每個NSG最多包含200個規則
目前每個訂閱最多有100個NSG
名稱:規則的唯一標識符
類型:入站/出站
優先級: <可以指定一個介于 100 和 4096 之間的整數>
源 IP 地址:源 IP 范圍的 CIDR
源端口范圍: <介于 0 與 65000 之間的整數或范圍>
目標 IP 范圍:目標 IP 范圍的 CIDR
目標端口范圍: <介于 0 與 65000 之間的整數或范圍>
協議: <允許使用 TCP、UDP 或“*”>
訪問:允許/拒絕
默認規則:NSG擁有默認規則,不能刪除,但是優先級最低
入站
| Name | 優先級 | 源 IP | 源端口 | 目標 IP | 目標端口 | 協議 | 訪問 |
| 允許入站 VNET | 65000 | VIRTUAL_NETWORK | * | VIRTUAL_NETWORK | * | * | 允許 |
| 允許入站 AZURE 負載平衡器 | 65001 | AZURE_LOADBALANCER | * | * | * | * | 允許 |
| 拒絕所有入站 | 65500 | * | * | * | * | * | 拒絕 |
出站
| Name | 優先級 | 源 IP | 源端口 | 目標 IP | 目標端口 | 協議 | 訪問 |
| 允許出站 VNET | 65000 | VIRTUAL_NETWORK | * | VIRTUAL_NETWORK | * | * | 允許 |
| 允許出站 INTERNET | 65001 | * | * | INTERNET | * | * | 允許 |
| 拒絕所有出站 | 65500 | * | * | * | * | * | 拒絕 |
對于NSG的關聯,會有以下幾種情況:
每次規則或關聯修改,都會在數分鐘內完成更新
創建和關聯 NSG到VM
1.創建網絡安全組 (NSG)。
2.添加網絡安全規則,除非默認規則足以滿足需要。
3.將 NSG 關聯到 VM。
4.更新 VM。
5.更新后,NSG 規則會立即生效。
更新現有的NSG
1.添加、刪除或更新現有 NSG 中的規則。
2.與 NSG 關聯的所有 VM 在數分鐘內就會更新。如果 NSG 規則已與 VM 關聯,則不需要進行 VM 更新。
更改 NSG 關聯
1.將新的 NSG 關聯到已與另一個 NSG 關聯的 VM。
2.更新 VM。
3.新 NSG 中的規則在數分鐘內就會生效。
目前,只能使用 PowerShell cmdlet 和 REST API 配置和修改 NSG
創建網絡安全組
New-AzureNetworkSecurityGroup -Name "MyNSG01" -Location “China East” -Label "Security group for my Vnet in China East"
添加或更新規則
Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '80' -Protocol TCP
刪除規則
Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Remove-AzureNetworkSecurityRule -Name WEB
將NSG關聯到VM
Get-AzureVM -ServiceName "ngcloud" -Name "ngvm01" | Set-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyNSG01" | Update-AzureVM
從VM中刪除NSG
Get-AzureVM -ServiceName "ngcloud" -Name "ngvm01" | Remove-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyNSG01" | Update-AzureVM
將 NSG 關聯到子網
Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'ngtest-network' –SubnetName 'Subnet-1'
現有V-NET和subnet
關聯
查看關聯的結果
從子網中刪除NSG
Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Remove-AzureNetworkSecurityGroupFromSubnet -VirtualNetworkName 'ngtest-network' -SubnetName 'Subnet-1'
再次查看結果
刪除NSG
Remove-AzureNetworkSecurityGroup -Name "MyNSG01"
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
