Azure
在 Azure 網路安全組中,在“AllowVnetInbound”和“AllowAzureLoadBalancerInbound”規則之前拒絕所有流量是一種好的做法嗎?
這組 Azure 網路安全組入站規則來自“最佳實踐”部落格。
我理解這意味著任何網路流量**都無法通過“DropAll”規則並達到“AllowVNetInbound”規則。我理解正確嗎?
我可以想像一些您可能想要拒絕來自 vNet 的所有入站流量的情況,但我無法想像為什麼這會被視為最佳實踐。(我理解最佳實踐意味著總是這樣做,除非有非常令人信服的理由不這樣做。)我在這裡錯過了什麼?
這樣做的唯一真正原因是,如果您想確保完全控制管理流量的規則,而不是預設使用內置規則。在您展示的場景中,不允許內部 vnet 流量,因為“AllowVnetInboundTraffic”規則被阻止。然後,如果將此規則應用於子網,則需要顯式定義您希望允許相同(或對等)vNet 上的電腦之間的流量的任何規則。