在 Azure 網路安全組中，在“AllowVnetInbound”和“AllowAzureLoadBalancerInbound”規則之前拒絕所有流量是一種好的做法嗎？

這組 Azure 網路安全組入站規則來自“最佳實踐”部落格。

我理解這意味著任何網路流量**都無法通過“DropAll”規則並達到“AllowVNetInbound”規則。我理解正確嗎？

我可以想像一些您可能想要拒絕來自 vNet 的所有入站流量的情況，但我無法想像為什麼這會被視為最佳實踐。（我理解最佳實踐意味著總是這樣做，除非有非常令人信服的理由不這樣做。）我在這裡錯過了什麼？

這樣做的唯一真正原因是，如果您想確保完全控制管理流量的規則，而不是預設使用內置規則。在您展示的場景中，不允許內部 vnet 流量，因為“AllowVnetInboundTraffic”規則被阻止。然後，如果將此規則應用於子網，則需要顯式定義您希望允許相同（或對等）vNet 上的電腦之間的流量的任何規則。

引用自：https://serverfault.com/questions/1067019