在 ACI 中保护 Linux SFTP。 IP表?越南网?
Securing a Linux SFTP in an ACI. IPTables? Vnet?
我按照这个很棒的教程使用 ACI 设置了一个简单的 SFTP:https://azure.microsoft.com/en-ca/resources/samples/sftp-creation-template/
问题是这个东西有一个 public IP,并且没有类似的防火墙来保护它。我想让这件事更安全。我非常擅长使用 Azure VNet,但还没有很多使用 Linux 或 ACI 的经验。在我看来,我可以做两件事之一
1) 在我的 vnet 中部署此 ACI 并通过 NSG 或类似方式控制访问。不确定这是否适用于 ACI?这有什么限制吗?
2) 在 linux 构建中使用 IPtables? sftp 构建基于 atmoz/sftp 但它配置为 ARM 部署模板。我真的只需要将对此 SFTP 的访问限制为单个 IP,因此我可以制定两条规则,但如果我走这条路,我希望在 ARM 模板本身中配置它。
所以我的问题真的
a)这里的最佳做法是什么? vnet 在逻辑上似乎更安全
b) 对于我自己的启发,我应该去哪里学习如何在 ARM 模板中配置 IPTables 之类的东西?这是可以在部署模板中配置的东西吗?
谢谢大家,
据我所知,这两个选项都应该适用于 ACI。但我更喜欢 select NSG,因为在 Azure 门户上管理它比访问实例更容易。此外,它将控制子网中的网络访问,它对您的实例设置几乎没有影响。 IPTables 在实例内部工作 如果您的图像支持 IPTables。
使用 VNet 部署 ACI 时存在一些限制。如
- 要将容器组部署到子网,子网不能包含任何其他资源类型。
- 此功能处于预览状态,部分地区可用。
- 部署到虚拟网络的容器组目前不支持使用 public IP 地址或完全限定域名将容器直接暴露到 Internet。因此,您可能需要添加 Azure Application gateway 反向代理之类的服务,以将面向 public 的流量定向到后端实例。
- 应用于委派给 Azure 容器实例的子网的 NSG 中的出站安全规则当前未强制执行
更多详情,您可以阅读:Deploy container instances into an Azure virtual network。
我按照这个很棒的教程使用 ACI 设置了一个简单的 SFTP:https://azure.microsoft.com/en-ca/resources/samples/sftp-creation-template/
问题是这个东西有一个 public IP,并且没有类似的防火墙来保护它。我想让这件事更安全。我非常擅长使用 Azure VNet,但还没有很多使用 Linux 或 ACI 的经验。在我看来,我可以做两件事之一
1) 在我的 vnet 中部署此 ACI 并通过 NSG 或类似方式控制访问。不确定这是否适用于 ACI?这有什么限制吗?
2) 在 linux 构建中使用 IPtables? sftp 构建基于 atmoz/sftp 但它配置为 ARM 部署模板。我真的只需要将对此 SFTP 的访问限制为单个 IP,因此我可以制定两条规则,但如果我走这条路,我希望在 ARM 模板本身中配置它。
所以我的问题真的 a)这里的最佳做法是什么? vnet 在逻辑上似乎更安全 b) 对于我自己的启发,我应该去哪里学习如何在 ARM 模板中配置 IPTables 之类的东西?这是可以在部署模板中配置的东西吗?
谢谢大家,
据我所知,这两个选项都应该适用于 ACI。但我更喜欢 select NSG,因为在 Azure 门户上管理它比访问实例更容易。此外,它将控制子网中的网络访问,它对您的实例设置几乎没有影响。 IPTables 在实例内部工作 如果您的图像支持 IPTables。
使用 VNet 部署 ACI 时存在一些限制。如
- 要将容器组部署到子网,子网不能包含任何其他资源类型。
- 此功能处于预览状态,部分地区可用。
- 部署到虚拟网络的容器组目前不支持使用 public IP 地址或完全限定域名将容器直接暴露到 Internet。因此,您可能需要添加 Azure Application gateway 反向代理之类的服务,以将面向 public 的流量定向到后端实例。
- 应用于委派给 Azure 容器实例的子网的 NSG 中的出站安全规则当前未强制执行
更多详情,您可以阅读:Deploy container instances into an Azure virtual network。