深入理解 Azure 虚拟网络安全与连接
1. 资源与应用组关联增强安全性
为提升安全性,可将资源与应用组关联。借助网络安全组(NSG)和应用组,能创建更多具备网络过滤选项的安全规则。资源与应用安全组(ASG)关联后,可将该组与 NSG 规则相连接,从而允许流量访问虚拟网络(VNet)或子网内的特定资源组。这种关联通常基于工作负载类型进行,可实现更精细的流量过滤。结合 NSG 和 ASG 能实现更好的控制,不仅基于网络分段控制流量,还能在应用层面进行控制,使特定流量仅能访问同一网络内的部分资源。
2. 本地网络与 Azure 的连接方式
在多数情况下,我们已有本地基础设施,期望将云与本地资源结合构建混合云环境。此时,需考虑如何从本地网络访问 Azure 的 VNet,有以下三种可选方式:
| 连接方式 | 特点 | 使用场景 |
| — | — | — |
| 点到站点连接(P2S) | 安全但非持久连接,从单台本地计算机连接到 Azure VNet | 用于管理和终端用户连接,如执行管理和维护任务、访问应用程序,不用于生产环境 |
| 站点到站点连接(S2S) | 持久的网络到网络连接,本地网络与 VNet 互联 | 扩展本地基础设施到 Azure,利用混合云优势 |
| ExpressRoute | 本地数据中心到 Azure 的直接连接,不经过互联网 | 提供更可靠、高速且低延迟的连接 |
3. 创建 S2S 连接的步骤
创建 S2S 连接需创建多个资源,具体步骤如下:
- 创建虚拟网络网关(VNG) :
- 定义订阅、