Как правила NSG по умолчанию разрешают интернет-запросы к виртуальным машинам?

Правила NSG по умолчанию следующие.

Входящий:

+-----------------------------------+----------+--------------------+-------------+-----------------+------------------+----------+--------+
|               Name                | Priority |     Source IP      | Source Port | Destination IP  | Destination Port | Protocol | Access |
+-----------------------------------+----------+--------------------+-------------+-----------------+------------------+----------+--------+
| ALLOW VNET INBOUND                |    65000 | VIRTUAL_NETWORK    | *           | VIRTUAL_NETWORK | *                | *        | ALLOW  |
| ALLOW AZURE LOAD BALANCER INBOUND |    65001 | AZURE_LOADBALANCER | *           | *               | *                | *        | ALLOW  |
| DENY ALL INBOUND                  |    65500 | *                  | *           | *               | *                | *        | DENY   |
+-----------------------------------+----------+--------------------+-------------+-----------------+------------------+----------+--------+

Исходящий:

+-------------------------+----------+-----------------+-------------+-----------------+------------------+----------+--------+
|          Name           | Priority |    Source IP    | Source Port | Destination IP  | Destination Port | Protocol | Access |
+-------------------------+----------+-----------------+-------------+-----------------+------------------+----------+--------+
| ALLOW VNET OUTBOUND     |    65000 | VIRTUAL_NETWORK | *           | VIRTUAL_NETWORK | *                | *        | ALLOW  |
| ALLOW INTERNET OUTBOUND |    65001 | *               | *           | INTERNET        | *                | *        | ALLOW  |
| DENY ALL OUTBOUND       |    65500 | *               | *           | *               | *                | *        | DENY   |
+-------------------------+----------+-----------------+-------------+-----------------+------------------+----------+--------+

Если виртуальная машина, связанная с этой NSG, подключается к Интернет-браузеру и переходит на веб-сайт, как этот веб-сайт возвращается виртуальной машине?

Насколько я могу судить, исходящий трафик разрешен, но разрешен только трафик из VNET или LB.

Разве виртуальная машина не отправит HTTP-запрос, который попадет на целевой сервер, который отправит ответ обратно виртуальной машине, и в конечном итоге не будет заблокирован NSG?


azure azure-nsg
person jarrad_obrien    schedule 13.09.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Поскольку исходящий трафик разрешен - соединение устанавливается, и пакеты используют уже установленное соединение. NSG блокирует создание новых подключений, не затрагивает существующие.

person 4c74356b41    schedule 13.09.2019
comment
Что поддерживает список активных подключений? - person jarrad_obrien; 15.09.2019
comment
NSG делает, так что лазурный - person 4c74356b41; 15.09.2019