NSG：阻止所有出站網際網路流量

我理解文章“逐步：通過 Azure 資源管理器 (ARM) 和 PowerShell 自動建構出站網路安全組規則”中的方法：允許 Azure 使用的所有內部使用的 IP 子網，然後阻止出站 Internet 流量。

但我認為這個子網列表不是靜態的，今天西歐有 437 個子網，接近每個 NSG 500 個 NSG 規則的最大值。

儲存或 Linux 儲存庫等資源使用其中一些子網。它們不使用靜態 IP 訪問，負載均衡器決定使用的服務及其 IP 地址。這就是打開所有 Azure 子網的原因。

我需要阻止到“真正的 Internet 伺服器”的所有流量，並且還需要訪問所需的內部服務。

問題：

1. 當添加了新子網並且負載均衡器決定

將這個新子網中的服務分配給我的請求時，我將無法訪問它？這可能會導致我的應用程序的服務降級。那是對的嗎？ 2. 新發布的“服務端點”是否可以解決這個問題？ 3. 除了“VirtualNetwork”、“AzureLoadBalancer”和“Internet”之外，是否計劃引入另一個可在 NSG 規則中使用的預設標記來處理“外部 Internet”或“Azure 內部”？

提前致謝！

提到的連結：

https://blogs.technet.microsoft.com/keithmayer/2016/01/12/step-by-step-automate-building-outbound-network-security-groups-rules-via-azure-resource-manager-arm-and-powershell/

https://azure.microsoft.com/de-de/blog/announcing-virtual-network-integration-for-azure-storage-and-azure-sql/?cdn=disable

正如您所提到的，阻止“網際網路”標籤的所有流量的問題在於它還阻止了對 Azure PaaS 服務的訪問。以前處理此問題的唯一方法是允許訪問 Azure IP 範圍，但正如您所指出的，其中有很多，而且它們會定期更改，這很痛苦。如果您想要訪問的服務獲得的 IP 不在您的 NSG 被程式為允許出站的範圍內，那麼是的，您將無法訪問它。

MS 已經開始通過使用服務標籤來解決這個問題。這些是類似於“Internet”的標籤，您可以在 NSG 規則上配置，而不必指定整個地址範圍。這裡有一些問題，首先該服務處於預覽狀態，其次它目前僅包含儲存和 Azure SQL。

如果您只需要 SQL 和儲存，那麼您可以繼續使用這些服務標籤來阻止對“網際網路”的訪問，並允許“儲存”和“SQL”

引用自：https://serverfault.com/questions/888645