[在此處輸入文章標(biāo)題]

之前在Azure上，對(duì)于網(wǎng)絡(luò)安全，用戶自己可以配置VM終結(jié)點(diǎn)的ACL ，但是無法針對(duì)整個(gè)V-NET或定義一個(gè)組來配置ACL。

網(wǎng)絡(luò)安全組 (NSG) 的出現(xiàn)解決了這個(gè)問題，可用于控制指向虛擬網(wǎng)絡(luò)中一個(gè)或多個(gè)虛擬機(jī) (VM) 實(shí)例的通信。在NSG中 包含了允許或拒絕指向 VM 實(shí)例的流量的訪問控制規(guī)則，并且可以隨時(shí)更改 NSG 的規(guī)則。

備注：

NSG 需要區(qū)域 VNet，NSG 與關(guān)聯(lián)到地緣組的 VNet 不兼容。

一個(gè)VM或子網(wǎng)只能關(guān)聯(lián)一個(gè)NSG

目前每個(gè)NSG最多包含200個(gè)規(guī)則

目前每個(gè)訂閱最多有100個(gè)NSG

1 規(guī)則內(nèi)容

名稱：規(guī)則的唯一標(biāo)識(shí)符

類型：入站/出站

優(yōu)先級(jí)： <可以指定一個(gè)介于 100 和 4096 之間的整數(shù)>

源 IP地址：源 IP 范圍的 CIDR

源端口范圍： <介于 0 與 65000 之間的整數(shù)或范圍>

目標(biāo) IP范圍：目標(biāo) IP 范圍的 CIDR

目標(biāo)端口范圍： <介于 0 與 65000 之間的整數(shù)或范圍>

協(xié)議: <允許使用 TCP、UDP 或“*”>

訪問：允許/拒絕

默認(rèn)規(guī)則：NSG擁有默認(rèn)規(guī)則，不能刪除，但是優(yōu)先級(jí)最低

入站

出站

2 創(chuàng)建和管理NSG

對(duì)于NSG的關(guān)聯(lián)，會(huì)有以下幾種情況：

• 將 NSG 關(guān)聯(lián)到 VM ，那么該 NSG 中的網(wǎng)絡(luò)訪問規(guī)則將直接應(yīng)用到發(fā)往 VM 的所有流量。
• 將 NSG 關(guān)聯(lián)到子網(wǎng) ，那么NSG 中的網(wǎng)絡(luò)訪問規(guī)則將應(yīng)用到該子網(wǎng)中的所有 VM。
• 將2個(gè)NSG分別關(guān)聯(lián)到VM和VM所在的V-NBT，那么這個(gè)VM將會(huì)收到雙重保護(hù)。

每次規(guī)則或關(guān)聯(lián)修改，都會(huì)在數(shù)分鐘內(nèi)完成更新

2.1 計(jì)劃NSG

創(chuàng)建和關(guān)聯(lián) NSG到VM

1.創(chuàng)建網(wǎng)絡(luò)安全組 (NSG)。

2.添加網(wǎng)絡(luò)安全規(guī)則，除非默認(rèn)規(guī)則足以滿足需要。

3.將 NSG 關(guān)聯(lián)到 VM。

4.更新 VM。

5.更新后，NSG 規(guī)則會(huì)立即生效。

更新現(xiàn)有的NSG

1.添加、刪除或更新現(xiàn)有 NSG 中的規(guī)則。

2.與 NSG 關(guān)聯(lián)的所有 VM 在數(shù)分鐘內(nèi)就會(huì)更新。如果 NSG 規(guī)則已與 VM 關(guān)聯(lián)，則不需要進(jìn)行 VM 更新。

更改 NSG關(guān)聯(lián)

1.將新的 NSG 關(guān)聯(lián)到已與另一個(gè) NSG 關(guān)聯(lián)的 VM。

2.更新 VM。

3.新 NSG 中的規(guī)則在數(shù)分鐘內(nèi)就會(huì)生效。

2.2 配置NSG

目前，只能使用 PowerShell cmdlet 和 REST API 配置和修改 NSG

創(chuàng)建網(wǎng)絡(luò)安全組

New-AzureNetworkSecurityGroup -Name "MyNSG01" -Location “China East” -Label "Security group for my Vnet in China East"

添加或更新規(guī)則

Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' -SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '80' -Protocol TCP

刪除規(guī)則

Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Remove-AzureNetworkSecurityRule -Name WEB

將NSG關(guān)聯(lián)到VM

Get-AzureVM -ServiceName "ngcloud" -Name "ngvm01" | Set-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyNSG01" | Update-AzureVM

從VM中刪除NSG

Get-AzureVM -ServiceName "ngcloud" -Name "ngvm01" | Remove-AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyNSG01" | Update-AzureVM

將 NSG 關(guān)聯(lián)到子網(wǎng)

Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Set-AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'ngtest-network' –SubnetName 'Subnet-1'

現(xiàn)有V-NET和subnet

關(guān)聯(lián)

查看關(guān)聯(lián)的結(jié)果

從子網(wǎng)中刪除NSG

Get-AzureNetworkSecurityGroup -Name "MyNSG01" | Remove-AzureNetworkSecurityGroupFromSubnet -VirtualNetworkName 'ngtest-network' -SubnetName 'Subnet-1'

再次查看結(jié)果

刪除NSG

Remove-AzureNetworkSecurityGroup -Name "MyNSG01"

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。