使用 NSG 控制可存取虛擬機器 NIC 的網路流量類型是 Microsoft Azure 最佳做法。依預設,首次為特定 Horizon Cloud Pod 執行 Horizon Universal Console 的「從 Marketplace 匯入虛擬機器」精靈時,系統會在該虛擬機器所在的相同資源群組中建立一個 NSG,並將所產生虛擬機器的 NIC 連結至該 NSG。下次執行精靈時,根據您是否選取了在該初始執行中建立的公用 IP 位址,系統會將後續虛擬機器連結至該相同 NSG 或建立第二個 NSG。這些 NSG 中的規則將決定允許傳輸至精靈所建立已匯入虛擬機器的流量。
如 Microsoft Azure 說明文件中所述,在 Microsoft Azure 中,網路安全性群組 (NSG) 可控管哪些網路流量可進入連線至 Azure 虛擬網路 (VNet) 的資源。NSG 會定義允許或拒絕該網路流量的安全性規則。如需關於 NSG 如何篩選網路流量的詳細資訊,請參閱 Microsoft Azure 說明文件主題使用網路安全性群組來篩選網路流量。Microsoft Azure 會在建立 NSG 時,自動在每個 NSG 中建立一些預設的規則。在建立的每個 NSG 中,Microsoft Azure 會以優先順序 65000 及更高來建立一些輸入和輸出規則。本說明文件主題中未描述此類 Microsoft Azure 預設規則,因為它們會在任何人或任何系統於 Microsoft Azure 中建立 NSG 時由 Microsoft Azure 自動建立。這些規則並非由 Horizon Cloud 建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則。
當系統的「從 Marketplace 匯入虛擬機器」工作流程執行時,系統會在建立匯入的虛擬機器的相同資源群組中建立這些 NSG。若要查看用於精靈在其中建立虛擬機器之網繭資源群組的命名模式,請參閱第一代租用戶 - 為 Microsoft Azure 中部署之網繭建立的資源群組。
使用啟用公用 IP 位址
針對在精靈的啟用公用 IP 位址切換設為開啟時建立的虛擬機器,系統會將那些虛擬機器連結至名為 HCS-Imported-VM-NSG 的 NSG。除了 Microsoft Azure 在所有 NSG 中建立的預設規則之外,此 NSG 還具有一個輸入規則,以允許使用 RDP 連接埠的輸入流量。由於啟用公用 IP 位址選項的目的是讓您能夠透過公用網際網路登入虛擬機器,以便您可以自訂虛擬機器,此輸入規則為您提供了使用 RDP 透過網際網路登入虛擬機器的功能。
| 優先順序 | 名稱 | 連接埠 | 通訊協定 | 來源 | 目的地 | 動作 |
|---|---|---|---|---|---|---|
| 300 | AllowRDP | 3389 | TCP | 任何 | 任何 | 允許 |
不使用啟用公用 IP 位址
針對在精靈的啟用公用 IP 位址切換設為關閉時建立的虛擬機器,系統會將那些虛擬機器連結至名為 HCS-Imported-VM-NSG-Basic 的 NSG。此 NSG 僅包含建立 NSG 時由 Microsoft Azure 建立的預設規則。本說明文件主題中未描述這類 Microsoft Azure 預設規則,因為它們會由 Microsoft Azure 自動建立。如需這些預設規則的詳細資料,請參閱 Microsoft Azure 說明文件主題預設安全性規則。
