Блокировка подсетей Azure с помощью NSG
Я не думаю, что это в настоящее время возможно, но я сделаю это.
VNET "main" содержит подсети "A" и "B".
Подсеть A содержит VM A1. Подсеть B содержит виртуальные машины B1 и B2.
По умолчанию (даже с NSG, примененным к подсети) все в обеих подсетях может общаться друг с другом из-за стандартного правила "AllowVnetInBound".
Если правило DenyAll установлено в подсети B с более высоким приоритетом, чем правило "AllowVnetInBound", это предотвращает общение A1 с B1 и B2, но также останавливает общение B1 с B2 из-за того, что правила NSG фактически применяются на уровне NIC, то есть NSG уровня подсети - это просто удобный способ массового применения NSG уровня NIC.
Итак, есть ли способ предотвратить подсеть A, говорящую с подсетью B, не прерывая весь трафик между B1 и B2 ИЛИ указав каждое последнее правило от B1 до B2 в NSG?
1 ответ
Да.
Укажите два правила отказа. Один с сетевой маской подсети A в качестве источника и сетевой маской подсети B в качестве пункта назначения и наоборот.