使用 Azure 网络安全组将特定 IP 地址列入白名单
Whitelisting specific IP Addressess with Azure Network Security Groups
我试图将对虚拟机端点的访问限制为仅特定的外部 IP 地址。调查后,我发现 Azure 上的网络安全组可能是合适的。我创建了一个网络安全组并将其附加到我的虚拟网络的子网。
然后我创建了这两条我认为应该只允许通过一个指定 IP 地址访问的规则:
规则如下:
- Source: IP Addresses
- Source IP address range: *
- Source port range: *
- Destination: *
- Destination port range: *
- Protocol: Any
- Action Deny
- Priority: 1000
- Name: Deny-All
- Source: IP Addresses
- Source IP Address Range: XX.XXX.XXX.XX
- Source Port Range: *
- Destination: Any
- Destination Port Range: *
- Protocol: Any
- Action: Allow
- Priority: 700
- Name: Allow-Specific
但是,当我尝试从指定的 IP 地址访问端点时,我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。 NSG 正在阻止访问,但我似乎无法使白名单正常工作。
我已经检查了 NSG 日志,但不幸的是我无法检查源 IP 地址是什么。也许源 IP 地址可能在管道的某处发生变化,并在它达到 NSG 规则之前发生变化。
这似乎是拒绝所有规则的问题。我没有意识到 NSG 中已经内置了拒绝所有规则。出于某种原因,当我删除自定义拒绝所有规则但保留允许特定规则时,我能够访问白名单 IP 上的端点。
我不确定为什么会这样,如果有人有更多反馈,我很乐意听到。
我试图将对虚拟机端点的访问限制为仅特定的外部 IP 地址。调查后,我发现 Azure 上的网络安全组可能是合适的。我创建了一个网络安全组并将其附加到我的虚拟网络的子网。
然后我创建了这两条我认为应该只允许通过一个指定 IP 地址访问的规则:
规则如下:
- Source: IP Addresses
- Source IP address range: *
- Source port range: *
- Destination: *
- Destination port range: *
- Protocol: Any
- Action Deny
- Priority: 1000
- Name: Deny-All
- Source: IP Addresses
- Source IP Address Range: XX.XXX.XXX.XX
- Source Port Range: *
- Destination: Any
- Destination Port Range: *
- Protocol: Any
- Action: Allow
- Priority: 700
- Name: Allow-Specific
但是,当我尝试从指定的 IP 地址访问端点时,我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。 NSG 正在阻止访问,但我似乎无法使白名单正常工作。
我已经检查了 NSG 日志,但不幸的是我无法检查源 IP 地址是什么。也许源 IP 地址可能在管道的某处发生变化,并在它达到 NSG 规则之前发生变化。
这似乎是拒绝所有规则的问题。我没有意识到 NSG 中已经内置了拒绝所有规则。出于某种原因,当我删除自定义拒绝所有规则但保留允许特定规则时,我能够访问白名单 IP 上的端点。
我不确定为什么会这样,如果有人有更多反馈,我很乐意听到。