NSG是什么？適用于哪些產(chǎn)品？

1. 什么是NSG？

安全組Network Security Group（簡稱NSG）用來篩選 Azure 虛擬網(wǎng)絡(luò)（virtual network）中出入Azure 資源的網(wǎng)絡(luò)流量。

2. NSG的相關(guān)概念：

NSG 包含安全規(guī)則，安全規(guī)則是允許或拒絕入站/出站流量的規(guī)約。

安全規(guī)則可配置的項包含：

3. 默認(rèn)的安全組規(guī)則：

入站

AllowVNetInBound

AllowAzureLoadBalancerInBound

DenyAllInbound

出站

AllowVnetOutBound

AllowInternetOutBound

DenyAllOutBound

4. NSG 試用于哪些產(chǎn)品？

5. NSG限制

受限于Azure 訂閱限制

6. 其他注意事項

• 主機(jī)節(jié)點的虛擬 IP：基本的基礎(chǔ)結(jié)構(gòu)服務(wù)（例如 DHCP、DNS、IMDS和運(yùn)行狀況監(jiān)視）是通過虛擬化主機(jī) IP 地址 168.63.129.16 和 169.254.169.254 提供的。 這些 IP 地址屬于 Azure，是僅有的用于所有區(qū)域的虛擬化 IP 地址，沒有其他用途。
  

• 許可（密鑰管理服務(wù)） ：在虛擬機(jī)中運(yùn)行的 Windows 映像必須獲得許可。 為了確保許可，會向處理此類查詢的密鑰管理服務(wù)主機(jī)服務(wù)器發(fā)送請求。 該請求是通過端口 1688 以出站方式提出的。 對于使用默認(rèn)路由 0.0.0.0/0 配置的部署，此平臺規(guī)則會被禁用。
  

• 負(fù)載均衡池中的虛擬機(jī)：應(yīng)用的源端口和地址范圍來自源計算機(jī)，而不是來自負(fù)載均衡器。 目標(biāo)端口和地址范圍是目標(biāo)計算機(jī)的，而不是負(fù)載均衡器的。
  

• Azure 服務(wù)實例：在虛擬網(wǎng)絡(luò)子網(wǎng)中部署了多個 Azure 服務(wù)的實例，例如 HDInsight、應(yīng)用程序服務(wù)環(huán)境和虛擬機(jī)規(guī)模集。  在將網(wǎng)絡(luò)安全組應(yīng)用到部署了資源的子網(wǎng)之前，請確保熟悉每個服務(wù)的端口要求。 如果拒絕服務(wù)所需的端口，服務(wù)將無法正常工作。
  

• 發(fā)送出站電子郵件：Azure 建議利用經(jīng)過身份驗證的 SMTP 中繼服務(wù)（通常通過 TCP 端口 587 進(jìn)行連接，但也經(jīng)常使用其他端口）從 Azure 虛擬機(jī)發(fā)送電子郵件。在 Azure 中使用 SMTP 中繼服務(wù)絕不會受限制，不管訂閱類型如何。如果是在 2017 年 11 月 15 日之前創(chuàng)建的 Azure 訂閱，則除了能夠使用 SMTP 中繼服務(wù)，還可以直接通過 TCP 端口 25 發(fā)送電子郵件。如果是在 2017 年 11 月 15 日之后創(chuàng)建的訂閱，則可能無法直接通過端口 25 發(fā)送電子郵件。經(jīng)端口 25 的出站通信行為取決于訂閱類型，如下所示：

• • 企業(yè)協(xié)議：允許端口 25 的出站通信。 可以將出站電子郵件直接從虛擬機(jī)發(fā)送到外部電子郵件提供商，不受 Azure 平臺的限制。
    

  • 標(biāo)準(zhǔn)預(yù)付費(fèi)套餐：默認(rèn)阻斷，需提工單解除，