Azure VNet：NSG 和 UDR 的“评估顺序”

Question

我们正在 Azure 中构建一个 Hub & Spoke.network，在 spoke.network 的 su.net 中使用 NSG。 现在我们希望允许其中一个分支中的工作负载与 inte.net 上的目的地建立出站连接（TCP，443）。 流量应通过 hub.network 中的 NVA 发送。

spoke 的 su.net 的 UDR 配置如下：

Address Prefix: 0.0.0.0/0, Next Hop Type: Virtual Appliance, Next Hop: <IP of Firewall>

在这种特殊情况下，我们需要如何配置 NSG 的出站规则？

a) Allow, Source: Virtual Network, Destination: Virtual Network

b) Allow, Source: Virtual Network, Destination: IP Addresses, Destination IP: <IP of Firewall>

c) Allow, Source: Virtual Network, Destination: Any

IMO a) 和 b) 意味着首先“评估”UDR，而选项 c) 意味着在路由发生之前应用 NSG。

非常感谢您提供帮助和/或链接到我目前无法找到的有关该主题的一些文档。

Answer 1

• 根据您询问的关于Azure 网络资源管理架构的考虑优先级及其默认设计，第一优先级将给予源和目标IP 地址正确的UDR（用户定义规则）在 virtual.networks之间定义，即使 a.network 虚拟设备用于转发它们之间的流量，因为在创建 virtual.network 时，Azure 会自动为在其创建期间定义的每个 su.net 路由。 因此，当创建路由时，会为同一 virtual.network 中定义的地址空间的地址范围创建和实施第一条路由和优先路由，因此这意味着根据设计，如果这些 UDR 的优先级是不是由其源和目标可达的有效 IP 地址已正确定义的用户设置。 请参考下面的工作流程图以便更好地理解：-

• 因此，根据您的帖子，您已询问以下 UDR 的评估优先级：-

  a)    Allow, Source: Virtual Network, Destination: Virtual Network

  b)    Allow, Source: Virtual Network, Destination: IP Addresses, Destination IP: <IP of Firewall>

  c)    Allow, Source: Virtual Network, Destination: Any

其中，第二个 (b)格式的 UDR 将被优先评估为“第一” ，然后是第一个 UDR (a)优先，然后是**第三个 (c)**UDR，因为它是为任何 IP 地址定义的源自 virtual.network，没有任何定义的目的地。

• 因此，相应地，您应该 go 以第二种 (b) 格式创建 UDR，因为默认情况下它会被 Azure 正确“评估” 。有关此主题的更多信息，请参阅下面的文档链接：-

https://learn.microsoft.com/en-us/azure/virtual.network/virtual.networks-udr-overview#default

http://gowie.eu/index.php/azure/best-practice/23-nsg-best-practice