Но мне не удалось понять сценарии для AzureKeyVault, Storage, Cosmos DB и т. Д., В каких случаях эти службы инициируют запрос?Зачем нам нужны эти сервисные теги во входящей NSG.
Для сервисных тегов во входящей NSG не так хорошо, как для исходящей NSG.Например, если вы хотите запретить весь исходящий интернет-трафик и разрешить только трафик для определенных служб Azure, таких как AzurekeyVault или AzureCosmosDB.Вы можете сделать это, используя служебные теги в качестве пункта назначения в ваших правилах исходящей почты NSG.
Аналогично, если вы хотите разрешить или запретить трафик от службы Azure в виртуальной сети, IP-адресе или группе безопасности приложения.Вы можете сделать это, используя служебные теги в качестве источника в ваших правилах входящих NSG.Например, вы можете установить метку службы AppService и конкретные IP-адреса (некоторые конкретные IP-адреса виртуальной машины) в качестве места назначения, затем вы можете ограничить AppService для доступа к ресурсам вашей виртуальной машины, таким как API или база данных.
Дляболее подробно вы можете просмотреть сценарии для обеспечения безопасности службы Azure.