出站到互联网:允许所有目的地的出站流量到互联网。默认情况下为 NSG 创建此规则。您不得使用手动拒绝规则覆盖它,以确保应用程序网关的顺利运行。不得创建拒绝任何出站连接的出站 NSG 规则。
如果 Azure NSG 是有状态的,为什么应用程序负载均衡器文档建议不限制出站访问?
我期望文档中没有关于出站访问的声明。
应用负载均衡文档之所以建议不限制出站访问,是为了保证应用网关的顺利运行。不得创建拒绝任何出站连接的出站规则,以防止应用程序网关的操作出现任何中断。尽管 Azure NSG 是有状态的,但需要允许出站访问以确保应用程序网关可以与 Internet 通信。 Azure 应用程序网关包含应用程序负载均衡器 (ALB),需要对 Internet 进行不受限制的出站访问,以执行不响应传入流量的多个操作任务。其中包括可能针对外部端点的运行状况检查、遥测和诊断报告、获取更新和安全补丁,以及与其他 Azure 服务进行无缝操作和集成的必要通信。阻止或限制出站流量可能会干扰这些功能并影响应用程序网关的可靠性和安全性。
例如,应用程序网关可能需要联系 CDN 来获取内容或联系 Azure Active Directory 来进行身份验证过程,这两者都是由网关本身发起的,而不是作为对传入流量的响应。
因此,建议维持允许出站流量的默认规则,以确保这些进程不被中断。
参考资料:- 应用程序网关基础设施配置 - 网络安全组