VM1需要通过端口4567(在Azure中)与VM2进行通信。两个VMS都在同一子网上。是否可以仅在连接到两个Vms且显示打开端口4567的NSG上创建入站规则?这样行吗?
还是我还需要登录两个VM并配置防火墙规则?
什么是正确的配置方式?在最佳实践方面。
答案 0 :(得分:1)
是的,您必须这样做,因为NSG不会与您的VM通信来更改其设置。 NSG是Azure级防火墙。
答案 1 :(得分:1)
Azure中具有ARM模型的子网或网络接口级别NSG。通常,我们只使用子网级别的NSG,它将对同一子网中的所有VM生效。如果默认情况下,如果VM在同一子网中,则由于存在 AllowVnetInBound 规则,来自VM的流量可以彼此通过NSG。
Windows防火墙是VM内的另一个防火墙。您可以配置它,也可以不配置它。建议对其进行配置以提高安全性。如果要打开从VM1与VM2对话的端口4567,则仅在配置了VM防火墙规则后才需要打开它。
参考:Azure Network Security Groups (NSG) – Best Practices and Lessons Learned