azure - Azure NSG 专用 IP 配置(白名单)Vnet 到 Vnet 通信
问题描述
我有一种情况,我想为其他 Vnet(定义了私有 IP 范围)打开我的 Vnet(比如说 Vnet1),我正在考虑使用 NSG 规则并允许其他 Vnet(比如说 Vnet2、Vnet3)的私有 IP 范围这个入口点子网(在 Vnet1 中)托管我的 API 网关。我有两个问题:
我认为使用私有 IP 地址并允许它们使用 NSG(Vnet 1/子网 1)应该是可行的?我不是在寻找 Vnet 的对等互连/s2s vpn,因为它们都属于不同的团队,而 Vnet2/Vnet3 只是想使用 Api 网关访问 Vnet1 的 API。
是否有我们预见到的任何安全问题,我认为暴露是安全的,因为这些是私有 IP,不能从 Internet 访问。
请让我知道可行性和安全性的意见。
谢谢 Xslguy
解决方案
为了帮助可能找到相同场景的其他人,只需在评论中提取有用信息并写下我的答案。
Azure VNet 是 Azure 云专用于您的订阅的逻辑隔离。VNet 对等互连允许两个 VNet 之间的流量仅通过 Microsoft 的专用网络进行路由。如果 VNET 没有对等互连,vnet1 将不会使用私有 IP 连接到 vnet2 中的资源,而是使用 vnet2 中资源的公共 IP。在这种情况下,我们需要限制连接到子网的 NSG 中入站规则的源公共 IP。借助 VNet 对等互连,您还可以通过将源私有 IP 用于附加到子网的 NSG 中的入站规则来限制从一个子网到另一个子网的访问。
从安全规则:
如果为 Azure 资源指定地址,请指定分配给该资源的专用 IP 地址。在 Azure 将公共 IP 地址转换为用于入站流量的专用 IP 地址之后,以及在 Azure 将专用 IP 地址转换为用于出站流量的公共 IP 地址之前,会处理网络安全组。
推荐阅读
- java - Maven 传递依赖 - Commons Collection 版本 3 与 4
- swift - 编译确实识别子类 NSWindow 实例
- r - 如何在 R 中实现欧拉方法
- python - 调用函数而不真正调用函数?
- java - 适用于 Cloudera 6.3.2 的 Hbase Spark 连接器
- neo4j - 如何使用 neo4j 创建带有词向量的词汇图?
- c++ - qt QApplication 不显示实时数据
- javascript - 在 Rails 中找不到类型为“application/javascript”的文件“jquery-ui/datepicker”?
- git - 无法从 linode 服务器克隆托管的 git 存储库
- c++ - 这段与指针相关的代码有什么问题