Azure 上虚拟网络中的 2 个 VM 之间的通信

Question

我在位于同一虚拟网络中的两个资源之间存在访问问题。

具体来说，我在 VNet“Common”内的 SubNet“Data”上有一个带有 SQL 实例的 VM。

我在“前端”子网上有另一个带有报告服务实例的虚拟机，也在“通用”VNet 内。

这两个虚拟机因此在同一个 VNet 下，但在两个不同的子网下。

当我尝试从 Reporting 实例连接到 SQL 数据库时，我收到一条错误消息，告诉我无法访问它。

我通过在我的子网“数据”的 NSG 中手动添加一条规则来解决该问题，以允许来自 SQL 端口上“报告”VM 的 IP 的通信。

只要我这样做，它就会起作用。我可以从子网“前端”的报告中连接到子网“数据”上的 SQL 数据库。

但我不明白的是，我的子网“数据”已经在其 NSG 上包含一个入站规则，如果呼叫来自虚拟网络，则允许所有入站连接（在所有端口上）。这是默认存在的规则（称为 AllowVnetInBound）。

通常，我不必为我的 VM 报告添加特定规则。特别是因为我的虚拟机有一个动态 IP，所以这个解决方案是不可行的。

我错过了什么？

为什么以“VirtualNetwork”为源的“AllowVnetInBound”规则不够用？

编辑： 这是“数据”子网的 NSG 入站规则。我已经用绿色概述了我必须添加的规则才能使通信正常工作。没有这条规则，沟通就无法进行。

Answer 1

在默认的“AllowVnetInbound”规则之上是否还有其他自定义的低优先级规则？

当您在默认规则之上添加了较低优先级的自定义规则（如“AllowVnetInbound”）时，通常会发生这种情况，这在逻辑上会阻止默认规则。

如果这不能回答您的问题，请在手动设置自定义规则之前分享早期状态的 NSG 规则的屏幕截图。

如果这回答了您的问题，请将解释标记为已接受。

Answer 2

一个虚拟网络中的子网无需任何额外配置即可相互通信

Answer 3

默认情况下，子网“Data”中的 VM 应该能够与子网“Front”中的 VM 通信，因为这两个子网都在同一个虚拟网络中。我们不需要创建任何额外的入站或出站规则 有时，即使虚拟机在同一个虚拟网络中，它们也可能由于虚拟机内部的防火墙设置而无法相互通信

因此，需要关闭两个虚拟机内部的防火墙，以便两个虚拟机能够相互通信

关闭两个虚拟机内的防火墙后，您就可以从报告实例连接到 SQL 数据库