使用 NSG 控制可访问虚拟机网卡的网络流量类型是 Microsoft Azure 最佳做法。默认情况下,首次为特定 Horizon Cloud 容器运行 Horizon Universal Console 的“从商城导入虚拟机”向导时,会在该虚拟机所在的同一资源组中创建一个 NSG,并将生成的虚拟机的网卡连接到该 NSG。下次运行向导时,根据您是否选择了在该初始运行中创建公共 IP 地址,系统会将后续虚拟机连接到该同一 NSG 或创建第二个 NSG。这些 NSG 中的规则将确定允许传输到向导创建的已导入虚拟机的流量。
如 Microsoft Azure 文档中所述,在 Microsoft Azure 中,网络安全组 (NSG) 控制传输到与 Azure 虚拟网络 (VNet) 连接的资源的网络流量。NSG 会定义一些安全规则来允许或拒绝此网络流量。有关 NSG 如何筛选网络流量的详细信息,请参阅 Microsoft Azure 文档主题使用网络安全组筛选网络流量。创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于当任何人或任意系统在 Microsoft Azure 中创建 NSG 时,Microsoft Azure 会自动创建此类 Microsoft Azure 默认规则,因此本文档主题中未对它们进行介绍。这些规则不是由 Horizon Cloud 创建的。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则。
当系统的“从商城导入虚拟机”工作流运行时,系统会在创建导入的虚拟机的同一资源组中创建这些 NSG。要了解用于向导在其中创建虚拟机的容器资源组的命名模式,请参阅第一代租户 - 为 Microsoft Azure 中部署的容器创建的资源组。
在打开启用公共 IP 地址的情况下
对于在打开向导的启用公共 IP 地址选项开关的情况下创建的虚拟机,系统会将这些虚拟机连接到名为 HCS-Imported-VM-NSG 的 NSG。除了 Microsoft Azure 在所有 NSG 中创建的默认规则外,此 NSG 还具有一个入站规则,允许使用 RDP 端口的入站流量。由于启用公共 IP 地址选项的目的是让您能够通过公共 Internet 登录到虚拟机,以便自定义虚拟机,因此,此入站规则为您提供了使用 RDP 通过 Internet 登录到虚拟机的功能。
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 300 | AllowRDP | 3389 | TCP | 任意 | 任意 | 允许 |
在关闭启用公共 IP 地址的情况下
对于在关闭向导的启用公共 IP 地址选项开关的情况下创建的虚拟机,系统会将这些虚拟机连接到名为 HCS-Imported-VM-NSG-Basic 的 NSG。此 NSG 仅包含在创建 NSG 时由 Microsoft Azure 创建的默认规则。由于此类 Microsoft Azure 默认规则是由 Microsoft Azure 自动创建的,因此本文档主题中未对它们进行介绍。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则。
