我设计了一个主要托管在 AWS 中的架构,但我们的一些客户要求为了与他们合作,我们也必须部署到 Azure。
我认为基础架构背后的逻辑是相同的,即流量由负载均衡器接收,然后将流量转发到它们后面的实例。
我看到的问题是我不确定 AWS 安全组和 Azure NSG 是否“可互换”,这意味着它们的工作方式完全相同,所以我可以将相同的 AWS 配置“转储”到 Azure . AFAIK,亚马逊中的安全组是一种基于主机的防火墙,为每个实例定义规则。但是,我正在阅读 Azure 文档,看起来 NSG 涵盖了更广泛的领域,不仅是实例级别,而且还包括子网的 ACL 等等。
所以基本上问题是:是否有任何简单的方法可以将 AWS 安全组配置转换为 Azure NSG?有可能吗?
我找到了这个老问题,但是当被问到时,Azure NSG 不可用。
【问题讨论】:
标签: security azure amazon-web-services
两个都用了一个月,我想我知道答案了。
AWS SG 和 Azure NSG 在应用于实例(AWS 中的 EC2,Azure 中的 VM)时的工作方式相同。在 Azure 的 GUI 中,有一个地方,VM 的名字有一个盾牌标志,点击它我可以像在 AWS 安全组中那样定义入站和出站规则。
略有不同的是,在 Azure 中,您对流量的控制较少,只有三个可能的选项:
相比之下,在 AWS 中,您可以专门控制哪些实例可以连接到其他实例,因为您可以使用安全组 ID 作为规则的源/目标。在 Azure 中,为了进行如此细粒度的控制,您需要使用虚拟机 IP,但如果您扩大规模,则需要在每个特定 IP 的规则集中添加更多规则,这在自动缩放中不太有用设置。
【讨论】:
它们非常相似,但有一些细微差别。例如,AWS 默认情况下不允许 VNET 内的所有流量,而 Azure NSG 允许 VNET 中 VM 之间的所有流量。不幸的是,我没有从一个翻译到另一个的指南。 Azure NSG 的最佳参考:https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/。这也记录了那些默认的入站和出站规则。
【讨论】:
我想指出的另一个区别是我在两种云上使用 RHEL 虚拟机的经验。
使用 AWS 安全组(VMS 的一种防火墙),您无需打开 VM 本身的端口。
对于 Azure,即使您已允许 NSG 中给定端口上的流量,您也必须在 VM 级别打开端口。因此,如果您想比较它们,我认为 NSG 是 Security 之上的一层。
请查看以下链接了解更多信息。
谢谢, 壁画
【讨论】: