我可能不在这里,因为我不是网络专家,也不是Azure的新手。我在Azure虚拟网络中隔离两个子网时遇到问题。
情景:
一个地址空间为10.0.0.0/16的虚拟网络(vn)。
两个子网(subnet1和subnet2) subnet1:10.0.0.0/24 subnet2:10.0.1.0/24
两个虚拟机(vm1和vm2)。每个虚拟机都是禁用Windows防火墙的Windows Server 2012 R2。 vm1位于subnet1中, vm2存在于subnet2
中vm2将Web服务绑定到端口5550.vm1使客户端(浏览器)在vm2上访问Web服务。我可以通过vm1上的客户端(浏览器)成功访问vm2上的Web服务器操作。
两个网络安全组(nsg1和nsg2)。 nsg1与subnet1关联, nsg2与subnet2
关联默认入站规则(尤其是nsg2)允许通过默认规则从vnet进行访问:
PRIORITY: 65000,
NAME: AllowVnetInbound,
SOURCE: VirtualNetwork,
DESTINATION: VirtualNetwork,
SERVICE: Custom(Any/Any),
ACTION: Allow
我正在尝试将nsg2配置为从vm1到vm2的DENY流量,即subnet1到subnet2。我似乎无法做到这一点;无论我放在什么拒绝规则vm1上的客户端总是能够访问vm2上的Web服务器。
我添加了一个具有更高优先级的新规则:
PRIORITY: 200,
NAME: DenyVnetInbound,
SOURCE: VirtualNetwork,
DESTINATION: VirtualNetwork,
SERVICE: Custom(Any/Any),
ACTION: Deny
不起作用,vm1上的客户端仍然能够访问vm2上的Web服务器。
也试过变种..
PRIORITY: 200,
NAME: DenyVnetInbound,
SOURCE: 10.0.0.0/24,
DESTINATION: 10.0.1.0/24,
SERVICE: Custom(Any/Any),
ACTION: Deny
这也不起作用。是否可以在Azure中隔离同一虚拟网络中的子网?