使用 Azure 傳統 CLI 建立網路安全性群組 (傳統)
您可以在虛擬網路中,使用 NSG 控制傳輸至一個或多個虛擬機器 (VM)、角色執行個體、網路介面卡 (NIC) 或子網路的流量。 NSG 包含存取控制規則,可根據流量方向、通訊協定、來源位址和連接埠與目的地位址和連接埠,允許或拒絕流量。 NSG 的規則可以隨時變更,而變更時會套用至所有相關聯的執行個體。
如需 NSG 的詳細資訊,請瀏覽 何謂 NSG。
重要
使用 Azure 資源之前,請務必了解 Azure 目前有 Azure Resource Manager 和「傳統」兩種部署模型。 在使用任何 Azure 資源之前,請先確認您了解 部署模型和工具 。 您可以按一下本文頂端的索引標籤,檢視不同工具的文件。
本文涵蓋之內容包括傳統部署模型。 您也可以 在資源管理員部署模型中建立 NSG。
狀況
為了更清楚說明如何建立 NSG,此文件會使用下列案例:
在這個案例中,您會在 TestVNet 虛擬網路的每個子網路中建立 NSG ,如下所述:
-
NSG-FrontEnd。 前端 NSG 會套用到「前端」子網路,且包含兩個規則:
- rdp-rule。 允許 RDP 流量流向「前端」子網路。
- web-rule。 允許 HTTP 流量流向「前端」子網路。
-
NSG-BackEnd。 後端 NSG 會套用到「後端」子網路,且包含兩個規則:
- sql-rule。 僅允許 SQL 流量來自「前端」子網路。
- web-rule。 拒絕來自「後端」子網路的所有網際網路繫結流量。
這些規則的組合會建立類似 DMZ 的案例,其後端子網路只能接收來自前端子網路 SQL 的傳入流量,且無網際網路的存取權;而前端子網路則可與網際網路通訊,並接收傳入的 HTTP 要求。
下列範例 Azure CLI 命令會假設您已根據案例建立簡單的環境。 如果您想要執行如本文件中所顯示的命令,請先建置 建立 VNet以建置測試環境。
建立前端子網路的 NSG
若您未曾用過 Azure CLI,請參閱安裝和設定 Azure CLI。
切換到傳統模式:
azure config mode asm
建立 NSG:
azure network nsg create -l uswest -n NSG-FrontEnd
建立允許從網際網路存取連接埠 3389 (RDP) 的安全性規則:
azure network nsg rule create -a NSG-FrontEnd -n rdp-rule -c Allow -p Tcp -r Inbound -y 100 -f Internet -o * -e * -u 3389
建立允許從網際網路存取連接埠 80 (HTTP) 的規則:
azure network nsg rule create -a NSG-FrontEnd -n web-rule -c Allow -p Tcp -r Inbound -y 200 -f Internet -o * -e * -u 80
建立 NSG 與前端子網路的關聯:
azure network nsg subnet add -a NSG-FrontEnd --vnet-name TestVNet --subnet-name FrontEnd
建立後端子網路的 NSG
建立 NSG:
azure network nsg create -l uswest -n NSG-BackEnd
建立允許從前端子網路存取連接埠 1433 (SQL) 的規則:
azure network nsg rule create -a NSG-BackEnd -n sql-rule -c Allow -p Tcp -r Inbound -y 100 -f 192.168.1.0/24 -o * -e * -u 1433
建立拒絕存取網際網路的規則:
azure network nsg rule create -a NSG-BackEnd -n web-rule -c Deny -p Tcp -r Outbound -y 200 -f * -o * -e Internet -u 80
建立 NSG 與後端子網路的關聯:
azure network nsg subnet add -a NSG-BackEnd --vnet-name TestVNet --subnet-name BackEnd