Azure Key Vault 作为入站 NSG 规则中的服务标记的方案
Posted
技术标签:
【中文标题】Azure Key Vault 作为入站 NSG 规则中的服务标记的方案【英文标题】:scenarios for AzureKeyVault as servicetag in Inbound NSG Rule 【发布时间】:2019-03-16 00:25:26 【问题描述】:我是网络新手,对 Azure NSG 中的一些服务标签有一些疑问。
如果您在下面看到,Azure 在定义入站 NSG 规则时有多个服务标签选项。但是我无法理解 AzureKeyVault、Storge、Cosmos DB 等的场景,这些服务在哪些场景中发起请求?为什么我们在入站 NSG 中需要这些服务标签。
【问题讨论】:
【参考方案1】:但我无法理解 AzureKeyVault、存储、 Cosmos DB 等这些服务在哪些场景下发起请求? 为什么我们在入站 NSG 中需要这些服务标签。
对入站 NSG 中的服务标签的理解不如出站 NSG 好。例如,如果您想要拒绝所有出站 Internet 流量并仅允许到特定 Azure 服务(如 AzurekeyVault 或 AzureCosmosDB)的流量。您可以使用服务标签作为 NSG 出站规则中的目标来执行此操作。
同样,如果您想允许或拒绝来自虚拟网络、IP 地址或应用程序安全组中 Azure 服务的流量。您可以使用服务标签作为 NSG 入站规则中的源来执行此操作。例如,您可以将服务标签 AppService 和特定 IP 地址(一些特定的 VM IP 地址)设置为目标,然后您可以限制 AppService 访问您的 VM 中的资源,如 API 或数据库。
有关更多详细信息,您可以查看scenarios 以保护您的 Azure 服务。
【讨论】:
以上是关于Azure Key Vault 作为入站 NSG 规则中的服务标记的方案的主要内容,如果未能解决你的问题,请参考以下文章
自动重新生成反映在 Azure Key Vault Secret 中的密钥
Azure Key Vault 使用Azure Portal创建和查看Azure Key Vault
Azure DevOps -> Pipelines -> Library -> 访问 Azure Key Vault -> Key Vault 不允许从所有网络访问