如何解决Azure NSG 私有 IP 配置白名单Vnet 到 Vnet 通信
我想为其他 Vnet(定义了私有 IP 范围)打开我的 Vnet(比如 Vnet1),我想使用 NSG 规则并允许其他 Vnet 的私有 IP 范围(比如 Vnet2, Vnet3) 到这个入口点子网(在 Vnet1 中),它承载我的 API 网关。 我有两个问题:
-
我认为使用私有 IP 地址并允许它们使用 NSG(Vnet 1/subnet 1)应该是可行的?我不是在寻找 Vnet 的 peering/s2s vpn,因为它们都属于不同的团队,而 Vnet2/Vnet3 只是想使用 Api 网关访问 Vnet1 的 API。
-
是否存在我们预见的任何安全问题,我认为可以安全公开,因为这些是私有 IP,无法从 Internet 访问。
请让我知道关于可行性和安全性的意见。
谢谢 Xslguy
解决方法
为了帮助可能发现相同情况的其他人,只需在评论中提取有用的信息并写下我的答案即可。
Azure VNet 是 Azure 云专用于订阅的逻辑隔离。 VNet 对等互连允许两个 VNet 之间的流量仅通过 Microsoft 的专用网络进行路由。如果 VNET 尚未对等互连,则 vnet1 将不会使用私有 IP 连接到 vnet2 中的资源,而是使用 vnet2 中资源的公共 IP。在这种情况下,我们需要限制附加到子网的 NSG 中入站规则的源公共 IP。借助 VNet 对等互连,您还可以将源私有 IP 用于附加到子网的 NSG 中的入站规则,从而限制从一个子网到另一个子网的访问。
如果为 Azure 资源指定地址,请指定私有地址 分配给资源的 IP 地址。网络安全组是 Azure 将公共 IP 地址转换为私有 IP 后处理 入站流量的地址,并且在 Azure 转换私有 IP 之前 地址到公共 IP 地址以用于出站流量。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
