我遇到的情况是,我想为其他Vnet(定义了专用IP范围(打开我的Vnet(比方说Vnet1(,我正在考虑使用NSG规则,并允许其他Vnet的专用IP范围(比如说Vnet2、Vnet3(到承载我的API网关的入口点子网(在Vnet1中(。我有两个问题:
-
我认为使用专用IP地址并允许它们使用(Vnet 1/子网1的(NSG应该是可行的?我不是在寻找Vnet的对等/s2s vpn,因为两者都属于不同的团队,Vnet2/Vnet3只是想使用Api网关访问Vnet1的Api。
-
我们是否预见到任何安全问题,我认为暴露这些问题是安全的,因为这些是私人IP,不能从互联网访问。
请告诉我对可行性和安全性的意见。
谢谢Xslguy
要帮助其他可能找到相同场景的人,只需提取注释中的有用信息并编写我的答案。
Azure VNet是对订阅的Azure云专用性的逻辑隔离。VNet对等允许两个VNet之间的流量仅通过Microsoft的专用网络路由。如果VNET尚未对等,则vnet1将不会使用私有IP连接到vnet2中的资源,而是使用vnet2资源的公共IP。在这种情况下,我们需要为连接到子网的NSG中的入站规则限制源公共IP。使用VNet对等,您还可以通过使用连接到子网的NSG中的入站规则的源专用IP来限制从一个子网到另一个子网的访问。
来自安全规则:
如果指定Azure资源的地址,请指定私有分配给资源的IP地址。网络安全组Azure将公用IP地址转换为专用IP后处理入站流量的地址,并且在Azure转换专用IP之前地址为出站流量的公共IP地址。