NSG 中包含防火牆的對內、對外規則,修改規則只會影響形成的新連線。 建立新規則或在網路安全性群組中更新現有規則時,它只會套用至新的流程和新連線。 現有的工作流程連線不會隨著新的規則更新。
說明上圖的幾個項目:
Inbound Security Rules 是由外向內連線的規則,Outbound Security Rules 是由內向外連線的規則。
每個連線要通過防火牆,會比對上面的條件,由 Priority 小的開始比對,符合了就可以通行,不再往下比對。
Name 可以隨便取,可讀性高就好,但是如上圖,有預先設定好幾個了,如下:
預設規則無法移除,但可以建立較高優先順序的規則來覆寫預設規則。規則 說明 1 AllowVNetInBound 允許來自同一 VNet 或對等互連 VNet 的對內流量2 AllowAzureLoadBalancerInBound 允許來自任何 Azure 負載平衡器 IP 位址的對內檢測流量3 DenyAllInbound 特殊規則,確保任何前面的規則未能比對出來的對內流量都會被擋下。4 AllowVNetOutBound 允許源於此一 VNet 或前往對等互連 VNet 的對外流量5 AllowInternetOutBound 允許此一 VNet 內的 VM 前往 Internet6 DenyAllOutBound 特殊規則,確保任何前面的規則未能比對出的對外流量都會被擋下。- 在 Source 和 Destination 欄位,有如下標籤方便設定 NSG 規則:
- 如下圖,VM 3、VM 4 在同一個 subnet,如果它們的網路設定一樣,想要統一管理,可以把它們預設綁在 VM 上的 NSG 移除,並設定一個新的 NSG 綁在 subnet 3 上。(在 example 中會說明怎麼做)
| Service Tag | 說明 | |
|---|---|---|
| 1 | VirtualNetwork | 所有的虛擬網路定址空間皆包含在內,包含本地及對等互連的 VNet。
|
| 2 | Internet | 所有公共 IP 位址,不論是 Azure 或外界持有皆然。
|
| 3 | AzureLoadBalancer | 你所部署的 Azure 負載平衡器的虛擬 IP 位址
|
| 4 | AzureCloud | Azure 的公共 IP 位址空間
|
| 5 | Storage | Azure 儲存體服務的 IP 位址空間
|
example
- create NSG
進入如上畫面,按【Create】後,進入如下畫面,填入 NSG 名稱。按【Review + create】後進入下面畫面,再按【Create】即成功建立一個 NSG。
- 設定 NSG如上,剛剛才建立的 subnet3-nsg 已經有預設建了一些 Inbound security rules 和 Outbound security rules,要很嚴謹的話,通常會把這些都刪除,只加上自己要的規則。
因為我們希望可以 ssh 到 VM 3、VM 4,如下圖在「Inbound security rules」中按【Add】。popup 出如下畫面後,在「Service」下拉選單選擇「SSH」。
按下【Add】後,會出現如下畫面,已經加入新的規則,因為 Priority 100,所以排最上面。
- 掛載 subnet-nsg 到 subnet
如上圖,在「Virtual networks」中找到 VNet2,選擇「Subnets」,裡面只有一個 subnet3,點選後出現 subnet3 的規則選項,在「Network security group」下拉選單中選擇「subnet3-nsg」後按【Save】。
- 修改 VM 4 的 Networking
查看 VM 4 的網路設定,原本的 VM4-nsg 及剛設定的 subnet3-nsg 同時存在,從 subnet3 外連線進去或由 VM 4 連出 subnet3 會同時受這兩個規則限制,與我們想要的不同,要移除 VM4-nsg。
點選上面紅框中的 vm491-z1 會進到下圖,目前的 NSG 是 VM4-nsg,要將它卸載,下拉選單改選為 None 後按【Save】。
再重新觀察 VM4 下的 Netowkring,如下圖,只剩下 subnet3-nsg。
VM4-nsg 現在不想用了,可以刪除,如下圖按【Delete】。
沒有留言:
張貼留言