NSG是什么？适用于哪些产品？

1. 什么是NSG？
安全组Network Security Group（简称NSG）用来筛选 Azure 虚拟网络（virtual network）中出入Azure 资源的网络流量。
2. NSG的相关概念：NSG 包含安全规则，安全规则是允许或拒绝入站/出站流量的规约。
安全规则可配置的项包含：
属性说明名称网络安全组中的唯一名称。优先级介于 100 和 4096 之间的数字。规则按优先顺序进行处理。先处理编号较小的规则，因为编号越小，优先级越高。一旦流量与某个规则匹配，处理即会停止。因此，不会处理优先级较低（编号较大）的、其属性与高优先级规则相同的所有规则。源或目标可以是任何值，也可以是单个 IP 地址、无类别域际路由 (CIDR) 块（例如 10.0.0.0/24）、服务标记或应用程序安全组。
服务标记代表给定 Azure 服务中的一组 IP 地址前缀。参见 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview
使用应用程序安全组可将网络安全性配置为应用程序结构的固有扩展，从而可以基于这些组将虚拟机分组以及定义网络安全策。
协议TCP、UDP、ICMP 或 Any。方向该规则是应用到入站还是出站流量。端口范围可以指定单个端口或端口范围。例如，可以指定 80 或 10000-10005。操作允许或拒绝
3. 默认的安全组规则：入站AllowVNetInBound优先级Source源端口目标目标端口协议访问65000VirtualNetwork0-65535VirtualNetwork0-65535任意允许AllowAzureLoadBalancerInBound优先级Source源端口目标目标端口协议访问65001AzureLoadBalancer0-655350.0.0.0/00-65535任意允许DenyAllInbound优先级Source源端口目标目标端口协议访问655000.0.0.0/00-655350.0.0.0/00-65535任意拒绝出站AllowVnetOutBound优先级Source源端口目标目标端口协议访问65000VirtualNetwork0-65535VirtualNetwork0-65535任意允许AllowInternetOutBound优先级Source源端口目标目标端口协议访问650010.0.0.0/00-65535Internet0-65535任意允许DenyAllOutBound优先级Source源端口目标目标端口协议访问655000.0.0.0/00-655350.0.0.0/00-65535任意拒绝4. NSG 试用于哪些产品？Category服务计算虚拟机：Linux或Windows
虚拟机规模集
云服务：仅限虚拟网络（经典）
Azure Batch网络应用程序网关 - WAF
*** 网关
Azure 防火墙
网络虚拟设备数据RedisCache
Azure SQL 数据库托管实例分析Azure HDInsight容器Azure Kubernetes 服务 (AKS)WebAPI 管理
应用服务环境5. NSG限制受限于Azure 订阅限制
网络安全组5,000每个 NSG 的 NSG 规则数1,0006. 其他注意事项主机节点的虚拟 IP：基本的基础结构服务（例如 DHCP、DNS、IMDS和运行状况监视）是通过虚拟化主机 IP 地址 168.63.129.16 和 169.254.169.254 提供的。这些 IP 地址属于 Azure，是仅有的用于所有区域的虚拟化 IP 地址，没有其他用途。

许可（密钥管理服务）：在虚拟机中运行的 Windows 映像必须获得许可。为了确保许可，会向处理此类查询的密钥管理服务主机服务器发送请求。该请求是通过端口 1688 以出站方式提出的。对于使用默认路由 0.0.0.0/0 配置的部署，此平台规则会被禁用。

负载均衡池中的虚拟机：应用的源端口和地址范围来自源计算机，而不是来自负载均衡器。目标端口和地址范围是目标计算机的，而不是负载均衡器的。

Azure 服务实例：在虚拟网络子网中部署了多个 Azure 服务的实例，例如 HDInsight、应用程序服务环境和虚拟机规模集。在将网络安全组应用到部署了资源的子网之前，请确保熟悉每个服务的端口要求。如果拒绝服务所需的端口，服务将无法正常工作。

发送出站电子邮件：Azure 建议利用经过身份验证的 SMTP 中继服务（通常通过 TCP 端口 587 进行连接，但也经常使用其他端口）从 Azure 虚拟机发送电子邮件。在 Azure 中使用 SMTP 中继服务绝不会受限制，不管订阅类型如何。如果是在 2017 年 11 月 15 日之前创建的 Azure 订阅，则除了能够使用 SMTP 中继服务，还可以直接通过 TCP 端口 25 发送电子邮件。如果是在 2017 年 11 月 15 日之后创建的订阅，则可能无法直接通过端口 25 发送电子邮件。经端口 25 的出站通信行为取决于订阅类型，如下所示：
企业协议：允许端口 25 的出站通信。可以将出站电子邮件直接从虚拟机发送到外部电子邮件提供商，不受 Azure 平台的限制。

标准预付费套餐：默认阻断，需提工单解除

CN2(CNCN)是互联网的第二平面(俗称二平面)，是相关网络运营商下一代多业务的承载网络，主要用于海外地区。CN2采用的核心技术是IP/MPLS，海底光缆直接连接大陆，省去了跳转国际网络的延迟。

NSG是什么？适用于哪些产品？相关推荐

做产品16年，我有9条心得--百度贴吧前负责人
做产品16年,我有9条心得--百度贴吧前负责人 2015-01-27舒迅拇指巴士我曾经在一个10亿级PV的产品中做过长时间的实践和不断修订,一转眼,已落网16年,有幸和多个中国公认最顶级的PM共事多 ...
产品开发的 11 宗罪
题图 | created by freepik 最近图灵君在翻看一本比较小众的书:<硬件产品设计与开发:从原型到交付>,没成想翻开前言和第 1 章都很惊艳,尤其是第 1 章总结的<产 ...
如何设计和管理AI产品?
什么是AI和ML?为什么AI产品管理比一般软件更困难? 在<AI 开发指南:机器学习产品是什么?>文章当中,我们讨论了管理AI产品所需要的基础认识和挑战. 对产品经理(PM)来说,AI或M ...
旧文 | 舒迅：产品经理必读的九步法
推荐语:本文首发于2012年12月19日,到今天正好8年.互联网变了吗?做产品的方法变了吗?你做产品经理的初心变了吗? 谨以此文献给梦想改变世界的人舒迅多年以后,当我面对那些年青的产品经理,我会想 ...
付费会员制，如何赋能产品？
本文为PMCAFF作者曳尾大叔于社区发布目录 1. 简述 2. 付费会员制如何赋能产品? 3. 付费会员制存在什么样的问题? 4. 如何在非零和博弈中胜出? 5. 结语一.简述近年,很多产品 ...
【干货】百度十年产品经验总结：产品经理九步法
多年以后,当我面对那些年青的产品经理,我会想起自己当年从事的是一份高薪的工作.那是2000年,我大学毕业后在北京一家IT网站做搜索引擎PM,当时我一个月的薪水能在亚运村买一平方米房子,十年之后,朋友招 ...
神策 FM | 将定价作为产品竞争优势的 5 种策略
对于许多企业来说,对产品和服务做出正确定价一直是一个不小的挑战,因为好像公司里的每个人对这个问题都有不同的看法.比如,经理 A 拍脑袋宣称:"X 是大多数顾客愿意支付的价格."执行 ...
如何成为数据型产品经理
产品经理的概念在不断泛化.近些年来,随着互联网行业的发展,越来越多的企业意识到了大数据和精细化运营的重要性,为了更好地挖掘数据的价值,指导业务的优化和发展,数据产品经理应运而生,他们基于数据分析方法发 ...
【网摘阅读】舒迅：产品经理必读的九步法
前几天读到一篇文章,觉得内容很好,推荐一下.本文摘自 http://www.huangshaofeng.com/422 产品设计"九步法" 第一步:产品满足用户的哪一个核心需求? ...

NSG是什么？适用于哪些产品？

NSG是什么？适用于哪些产品？相关推荐

最新文章

热门文章