要将两个或多个 VNet 连接在一起,可以使用 VNet 对等互连。但是,我注意到在我的组织中,有些人正在使用 NSG 将 VNet 之间的 IP 地址列入白名单。在这方面有优势或最佳实践吗?
遵循零信任模式,如果可以避免这样做,通常不建议将 IP 列入白名单。
根据您的约束和组织规则,您可能希望利用 VNet Peering 与 Hub-and-Spoke 拓扑(或不)甚至 Private Link 跨 VNets/区域的 PaaS(或负载背后的虚拟机) Balancer)以确保流量通过 Microsoft 主干而不是通过 Internet 流动,IP 欺骗是一种常见的攻击。
对于此类问题,我总是会参考Microsoft Well-Architected Framework。