Назад | Перейти на главную страницу

В чем разница между группой безопасности сети Azure и виртуальной сетью?

Я сделал несколько виртуальных машин в Azure.

Я вижу, что для моих виртуальных машин создана виртуальная сеть. Это здорово, так как им нужна сеть, и я бы (конечно) хотел, чтобы они могли подключаться друг к другу.

Я также вижу, что была создана группа сетевой безопасности, и это здорово, поскольку я могу управлять правилами брандмауэра и внешним доступом.

Однако я не понимаю, в чем разница и почему они оба существуют? Почему они разделены, в отличие от группы безопасности сети, реализованной в виде вкладки брандмауэра под vnet (как это делает база данных SQL). Я также не вижу, как связаны между собой vnet и группа безопасности сети. У них обоих одинаковые сетевые адаптеры, но, похоже, они не знают друг друга - означает ли это, что группа безопасности может не применяться к некоторым сетевым адаптерам в сети? (и наоборот, может ли группа сетевой безопасности иметь сетевые адаптеры из разных виртуальных сетей?).

Я полагаю, что группы безопасности сети могли бы быть реализованы как часть виртуальной сети, но на самом деле текущий подход обеспечивает большую гибкость, особенно если вы используете шаблоны для развертывания.

vNets - это ваши контейнеры, которые обеспечивают связь между виртуальными машинами и границей между вашей средой и внешним миром. Внутри vNets вы создадите подсети, чтобы организовать вашу сеть так, как вам нравится, и настроить правило маршрутизации, чтобы определить, как проходит трафик (если вам не нравятся значения по умолчанию). vNets также предоставляют возможность подключаться к таким вещам, как VPN и Express route.

NSG - это ваши брандмауэры, которые определяют, какой трафик разрешен. Важно отметить, что группы безопасности сети можно применять к отдельным машинам или подсетям. Это различие означает, что вы можете применить NSG к подсети, и она может контролировать разрешенный трафик как из внешнего мира, так и из других подсетей в вашей сети. В качестве альтернативы вы можете определить его на уровне виртуальной машины / сетевой карты и заблокировать ее только для этой виртуальной машины.