Нужно ли открывать правило межсетевого экрана Azure NSG и правило межсетевого экрана VM одновременно

Question

VM1 должен общаться с VM2 через порт 4567 (в Azure).Обе VMS находятся в одной подсети.Могу ли я просто создать входящее правило для NSG, подключенного к обоим Vms, которое говорит открытый порт 4567?Будет ли это работать?

Или мне также нужно войти на обе виртуальные машины и настроить правила брандмауэра?

Как правильно настроить это?с точки зрения наилучшей практики.

Answer 1

В Azure есть модель NSG уровня подсети или сетевого интерфейса с моделью ARM.Обычно мы просто используем NSG уровня подсети, который будет действовать на всех виртуальных машинах в одной подсети.Если виртуальные машины в той же подсети по умолчанию, трафик от виртуальных машин может проходить через NSG друг к другу, так как существует правило AllowVnetInBound .

Брандмауэр Windows - это еще один межсетевой экран внутри виртуальных машин.Вы можете настроить это или не настраивать это.Предложите настроить его для большей безопасности.Если вы хотите открыть порт 4567 из разговора VM1 с VM2, вам нужно открыть его только в правиле брандмауэра VM, если вы его настроили.

Ссылка: Группы безопасности сети Azure (NSG) - Рекомендациии извлеченные уроки

Answer 2

Да, вам нужно, потому что NSG не обращается к вашей виртуальной машине, чтобы изменить настройки на ней. NSG - это брандмауэр уровня Azure.