NSG是什么？适用于哪些产品？

1. 什么是NSG？

安全组Network Security Group（简称NSG）用来筛选 Azure 虚拟网络（virtual network）中出入Azure 资源的网络流量。

2. NSG的相关概念：

NSG 包含安全规则，安全规则是允许或拒绝入站/出站流量的规约。

安全规则可配置的项包含：

3. 默认的安全组规则：

入站

AllowVNetInBound

AllowAzureLoadBalancerInBound

DenyAllInbound

出站

AllowVnetOutBound

AllowInternetOutBound

DenyAllOutBound

4. NSG 试用于哪些产品？

5. NSG限制

受限于Azure 订阅限制

6. 其他注意事项

• 主机节点的虚拟 IP：基本的基础结构服务（例如 DHCP、DNS、IMDS和运行状况监视）是通过虚拟化主机 IP 地址 168.63.129.16 和 169.254.169.254 提供的。 这些 IP 地址属于 Azure，是仅有的用于所有区域的虚拟化 IP 地址，没有其他用途。
  

• 许可（密钥管理服务） ：在虚拟机中运行的 Windows 映像必须获得许可。 为了确保许可，会向处理此类查询的密钥管理服务主机服务器发送请求。 该请求是通过端口 1688 以出站方式提出的。 对于使用默认路由 0.0.0.0/0 配置的部署，此平台规则会被禁用。
  

• 负载均衡池中的虚拟机：应用的源端口和地址范围来自源计算机，而不是来自负载均衡器。 目标端口和地址范围是目标计算机的，而不是负载均衡器的。
  

• Azure 服务实例：在虚拟网络子网中部署了多个 Azure 服务的实例，例如 HDInsight、应用程序服务环境和虚拟机规模集。  在将网络安全组应用到部署了资源的子网之前，请确保熟悉每个服务的端口要求。 如果拒绝服务所需的端口，服务将无法正常工作。
  

• 发送出站电子邮件：Azure 建议利用经过身份验证的 SMTP 中继服务（通常通过 TCP 端口 587 进行连接，但也经常使用其他端口）从 Azure 虚拟机发送电子邮件。在 Azure 中使用 SMTP 中继服务绝不会受限制，不管订阅类型如何。如果是在 2017 年 11 月 15 日之前创建的 Azure 订阅，则除了能够使用 SMTP 中继服务，还可以直接通过 TCP 端口 25 发送电子邮件。如果是在 2017 年 11 月 15 日之后创建的订阅，则可能无法直接通过端口 25 发送电子邮件。经端口 25 的出站通信行为取决于订阅类型，如下所示：

• • 企业协议：允许端口 25 的出站通信。 可以将出站电子邮件直接从虚拟机发送到外部电子邮件提供商，不受 Azure 平台的限制。
    

  • 标准预付费套餐：默认阻断，需提工单解除，