如何使用门户管理 NSG

可以在虚拟网络中使用 NSG 控制流向一个或多个虚拟机 (VM)、角色实例、网络适配器 (NIC) 或子网的流量。NSG 包含根据流量方向、协议、源地址和端口以及目标地址和端口允许或拒绝流量的访问控制规则。可以随时更改 NSG 的规则,所做的更改适用于所有关联的实例。

有关 NSG 的详细信息,请访问什么是 NSG

Important

在使用 Azure 资源之前,请务必了解 Azure 当前使用两种部署模型:资源管理器部署模型和经典部署模型。在使用任何 Azure 资源之前,请确保你了解部署模型和工具。可以通过单击本文顶部的选项卡来查看不同工具的文档。本文介绍资源管理器部署模型。你还可以在经典部署模型中创建 NSG

方案

为了更好地说明如何创建 NSG,本文档将使用以下方案。

VNet 方案

在此方案中,你将为 TestVNet 虚拟网络中的每个子网创建 NSG,如下面所述:

  • NSG-FrontEnd。前端 NSG 将应用于 FrontEnd 子网,并且包含以下两个规则:
    • rdp-rule。此规则允许将 RDP 流量传输到 FrontEnd 子网。
    • web-rule。此规则允许将 HTTP 流量传输到 FrontEnd 子网。
  • NSG-BackEnd。后端 NSG 将应用于 BackEnd 子网,并且包含以下两个规则:
    • sql-rule。此规则只允许从 FrontEnd 子网传输的 SQL 流量。
    • web-rule。此规则将拒绝从 BackEnd 子网传输的所有 Internet 绑定流量。

将这些规则组合起来可创建一个与 DMZ 类似的方案,其中后端子网只能接收来自前端子网的 SQL 通信的传入流量且不能访问 Internet,而前端子网可以与 Internet 通信并只接收传入 HTTP 请求。

通过使用单击部署来部署 ARM 模板

此时不能从预览创建 NSG。但是,可以管理现有 NSG。使用公共存储库中可用的示例模板创建以上方案中所述的资源后,才能管理 NSG。部署此模板,单击部署至 Azure,根据需要替换默认参数值,然后按照门户中的说明进行操作。

在现有 NSG 中创建规则

若要从门户中在现有 NSG 中创建规则,请按照下面的步骤操作。

  1. 从浏览器导航到 https://portal.azure.cn ,如有必要,请使用 Azure 帐户登录。
  2. 单击“浏览>”>“网络安全组”。

门户 - NSG

  1. 在 NSG 列表中,单击“NSG-FrontEnd”>“入站安全规则”

门户 - NSG 前端

  1. 在“入站安全规则”列表中,单击“添加”。

门户 - 添加规则

  1. 在“添加入站安全规则”边栏选项卡中创建一个名为 web-rule 的规则,其优先级为 200,允许端口 80 通过 TCP 访问来自任何来源的任何 VM,然后单击“确定”。请注意这些设置中大多数已经是默认值。

门户 - 规则设置

  1. 几秒钟后可在 NSG 中看到新规则。

门户 - 新建规则