NSG的相关概念：

NSG 包含安全规则，安全规则是允许或拒绝入站/出站流量的规约。

安全规则可配置的项包含：

属性说明名称网络安全组中的唯一名称。优先级介于 100 和 4096 之间的数字。 规则按优先顺序进行处理。先处理编号较小的规则，因为编号越小，优先级越高。 一旦流量与某个规则匹配，处理即会停止。 因此，不会处理优先级较低(编号较大)的、其属性与高优先级规则相同的所有规则。源或目标可以是任何值，也可以是单个 IP 地址、无类别域际路由 (CIDR) 块(例如 10.0.0.0/24)、服务标记或应用程序安全组。

服务标记代表给定 Azure 服务中的一组 IP 地址前缀。参见 https://docs.azure.cn/zh-cn/virtual-network/service-tags-overview

使用应用程序安全组可将网络安全性配置为应用程序结构的固有扩展，从而可以基于这些组将虚拟机分组以及定义网络安全策。

协议TCP、UDP、ICMP 或 Any。方向该规则是应用到入站还是出站流量。端口范围可以指定单个端口或端口范围。 例如，可以指定 80 或 10000-10005。操作允许或拒绝

默认的安全组规则：入站AllowVNetInBound优先级Source源端口目标目标端口协议访问65000VirtualNetwork0-65535VirtualNetwork0-65535任意允许AllowAzureLoadBalancerInBound优先级Source源端口目标目标端口协议访问65001AzureLoadBalancer0-655350.0.0.0/00-65535任意允许DenyAllInbound优先级Source源端口目标目标端口协议访问655000.0.0.0/00-655350.0.0.0/00-65535任意拒绝出站AllowVnetOutBound优先级Source源端口目标目标端口协议访问65000VirtualNetwork0-65535VirtualNetwork0-65535任意允许AllowInternetOutBound优先级Source源端口目标目标端口协议访问650010.0.0.0/00-65535Internet0-65535任意允许DenyAllOutBound优先级Source源端口目标目标端口协议访问655000.0.0.0/00-655350.0.0.0/00-65535任意拒绝4. NSG 试用于哪些产品?Category服务计算虚拟机：Linux或Windows

虚拟机规模集

云服务：仅限虚拟网络(经典)

Azure Batch网络应用程序网关 - WAF

*** 网关

Azure 防火墙

网络虚拟设备数据RedisCache

Azure SQL 数据库托管实例分析Azure HDInsight容器Azure Kubernetes 服务 (AKS)WebAPI 管理

应用服务环境5. NSG限制受限于Azure 订阅限制

网络安全组5,000每个 NSG 的 NSG 规则数1,0006. 其他注意事项主机节点的虚拟 IP：基本的基础结构服务(例如 DHCP、DNS、IMDS和运行状况监视)是通过虚拟化主机 IP 地址 168.63.129.16 和 169.254.169.254 提供的。 这些 IP 地址属于 Azure，是仅有的用于所有区域的虚拟化 IP 地址，没有其他用途。