描述:
我有一个设置了 VPN 网关的 VNet,它充当中心,并与托管我的生产、测试和开发资源的其他三个 VNet 建立对等互连。在每个 VNet 中,本地设备应有权访问特定端点(地址仅是示例):
生产:10.100.1.2 测试:10.100.2.2 开发:10.100.3.2
根据第一个主题,我应该修改所有三个 VNet 中的 NSG 规则。但是,我发现了另一个主题:https://learn.microsoft.com/en-us/answers/questions/767869/site-to-site-vpn-subjects-to-nsg,这表明一旦流量进入通过中心 VNet 中的 VPN 网关的 Azure 网络,它被视为源自 Azure 网络本身。因此,我的 NSG 规则将无法按预期工作,并且本地设备将有权访问我的所有资源。
解决这个问题的正确方法是什么?
如何使用站点到站点 VPN 限制对中心辐射型 VNet 架构中特定端点的本地访问?
要限制对
Azure VNet
内特定设备的本地访问,您可以使用多种方法。最有效的方法如下:
最安全的方法是使用
Azure Firewall
,尽管它可能不是最具成本效益的选择。
第二种方法是使用
Network Security Groups
,既经济又easiest
方式。
NSG 规则
如果要阻止 Azure VNet 中的特定终结点访问 VPN 网络,可以配置网络安全组规则。您可以指定 NSG 规则,并将源设置为
VPN network range
,将目标设置为 Azure-connected
资源的 IP 地址或子网。
防火墙配置
您可以按照混合网络中的Azure 防火墙来限制从
VPN ranges
到Azure Vnet
的流量。
参考资料: