問題描述
當本地網絡通過ER專線與Azure雲上多個虛拟網絡打通,如何通過特定的網絡政策來限制本地部分網段通路雲上虛拟機22端口?
問題回答
根據文檔調研,在ER線路服務的層面,是無法做網絡政策來限制本地網絡對虛拟機22端口的通路。但是可以通過Firewall 或者是NSG(網絡安全組 Network Security Group)這兩種方式來實作:
實作一:Azure Firewall
在Azure上部署Firewall,将虛拟網絡的特定網段的流量指向Firewall做過濾,此時需要在ER網關以及後端子網上都配置針對指定網段的UDR。
實作二:Network Security Group
在虛拟機的子網上配置NSG,以拒絕特定本地網段通路22端口。比較方式一,它會簡單一些,隻需在需要保護的雲上網段的子網上配置NSG規則即可。
參考資料
Azure 防火牆文檔:https://docs.azure.cn/zh-cn/firewall/
網絡安全組:https://docs.azure.cn/zh-cn/virtual-network/network-security-groups-overview
網絡安全組如何篩選網絡流量:https://docs.azure.cn/zh-cn/virtual-network/network-security-group-how-it-works
當在複雜的環境中面臨問題,格物之道需:濁而靜之徐清,安以動之徐生。 雲中,恰是如此!
![Servlet技術概述[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)