В группе безопасности сети Azure запрещает весь трафик до применения правил AllowVnetInbound и AllowAzureLoadBalancerInbound?
Этот набор правил для входящего трафика группы сетевой безопасности Azure взят из блога с рекомендациями.
Насколько я понимаю, это означает, что нет какого-либо способа для любого сетевого трафика пройти правило «DropAll» и достичь правила «AllowVNetInbound». Правильно ли я понимаю?
Я могу представить себе несколько случаев, когда вы, возможно, захотите запретить весь входящий трафик из виртуальной сети, но я не могу себе представить, почему это будет считаться лучшей практикой. (Насколько я понимаю, передовая практика означает, что всегда делают это, если нет серьезной веской причины не делать ). Что мне здесь не хватает?
Единственная реальная причина сделать это - убедиться, что вы полностью контролируете правила, регулирующие поток трафика, и не используете встроенные правила по умолчанию. В показанном вами сценарии трафик внутри виртуальной сети не разрешен, так как правило «AllowVnetInboundTraffic» заблокировано. Затем вам нужно будет явно определить любые правила, которые вы хотите разрешить трафик между машинами в одной (или одноранговой) vNets, если вы примените это правило к подсети.