9、深入理解 Azure 虚拟网络安全与连接

深入理解 Azure 虚拟网络安全与连接

1. 资源与应用组关联增强安全性

为提升安全性，可将资源与应用组关联。借助网络安全组（NSG）和应用组，能创建更多具备网络过滤选项的安全规则。资源与应用安全组（ASG）关联后，可将该组与 NSG 规则相连接，从而允许流量访问虚拟网络（VNet）或子网内的特定资源组。这种关联通常基于工作负载类型进行，可实现更精细的流量过滤。结合 NSG 和 ASG 能实现更好的控制，不仅基于网络分段控制流量，还能在应用层面进行控制，使特定流量仅能访问同一网络内的部分资源。

2. 本地网络与 Azure 的连接方式

在多数情况下，我们已有本地基础设施，期望将云与本地资源结合构建混合云环境。此时，需考虑如何从本地网络访问 Azure 的 VNet，有以下三种可选方式：
| 连接方式 | 特点 | 使用场景 |
| — | — | — |
| 点到站点连接（P2S） | 安全但非持久连接，从单台本地计算机连接到 Azure VNet | 用于管理和终端用户连接，如执行管理和维护任务、访问应用程序，不用于生产环境 |
| 站点到站点连接（S2S） | 持久的网络到网络连接，本地网络与 VNet 互联 | 扩展本地基础设施到 Azure，利用混合云优势 |
| ExpressRoute | 本地数据中心到 Azure 的直接连接，不经过互联网 | 提供更可靠、高速且低延迟的连接 |

3. 创建 S2S 连接的步骤

创建 S2S 连接需创建多个资源，具体步骤如下：
- 创建虚拟网络网关（VNG） ：
- 定义订阅、