VM1需要在端口4567(在Azure中)与VM2通信。两个VMS都在同一子网上。我是否可以在连接到两个Vms的NSG上创建一个入站规则,这个规则表示开放端口4567?这会有用吗?
或者我是否还需要登录两个VM并配置防火墙规则?
配置这个的正确方法是什么?在最佳实践方面。
是的,您必须这样做,因为NSG不会与您的VM通信以更改其设置。 NSG是Azure级防火墙。
Azure中有ARM模型的子网或网络接口级别NSG。通常我们只使用子网级别NSG,它将对同一子网中的所有VM生效。如果虚拟机位于同一子网中,则默认情况下,来自VM的流量可以通过NSG相互传递,因为存在AllowVnetInBound规则。
Windows防火墙是VM中的另一个防火墙。您可以配置它或不配置它。建议配置它以提高安全性。如果要从VM1通话打开端口4567到VM2,只需配置它就需要在VM防火墙规则中打开它。
参考:Azure Network Security Groups (NSG) – Best Practices and Lessons Learned