我在Azure中创build了一些虚拟机。
我可以看到为我的虚拟机创build了一个vnet。 这很好,因为他们需要一个networking,我会(当然)喜欢他们能够互相连接。
我也可以看到,一个networking安全组已经创build,这是非常好的,因为我可以控制防火墙规则和外部访问。
但是,我不清楚差异,为什么他们都存在? 为什么它们是分开的,而networking安全组是作为vnet下的防火墙选项卡实现的(就像SQL数据库那样)。 我也看不出vnet和networking安全组是如何相关的。 他们都有相同的网卡,但似乎没有彼此的意识 – 这是否意味着安全组可能不适用于networking上的某些网卡? (反之亦然,networking安全组是否可以拥有来自不同vnet的网卡?)。
我想NSG可以作为vNet的一部分来实现,但实际上目前的方法提供了更大的灵活性,尤其是在使用模板进行部署时。
vNets是你的容器,提供虚拟机之间和你的环境和外部世界之间的边界之间的沟通。 在vNet内部,您将创build子网来组织您的networking,并configuration路由规则来定义stream量的stream向(如果您不喜欢默认设置)。 vNets还提供挂钩到VPN和Express路由等function。
NSG的是你的防火墙,决定什么样的stream量是可以通过的。 重要的是要注意的是,NSG可以应用于单个机器或子网。 这种区别意味着您可以将NSG应用于子网,并且可以控制来自外部世界以及来自networking中其他子网的stream量。 或者,您可以在VM / NIC级别定义它,并为该VMlocking事物。