Azure NSG 不阻止流向子网 ACI 的流量
Azure NSG not blocking traffic to subnetted ACI
我终于正确设置了一个 azure sftp 容器实例,但我在为其配置安全性时 运行 撞墙了(很像那个人 )。
我的基本流程是这样的:
Azure 上的 PIP ->
-> 使用 PIP 的负载均衡器可以被更广泛的网络访问 ->
-> 到后端子网的负载均衡规则 ->
-> 位于该子网上的 SFTP 容器组 ->
-> 该组中的 SFTP 容器
没什么特别的,我在关联 NSG 之前验证了网络正在按预期运行。与 SFTP 服务器的连接正常。问题是,在将 NSG 与容器组的子网相关联之后,我仍然能够在没有任何配置规则的情况下连接到它。即使应用规则 @ priority 100 拒绝所有流量,以排除我可能从默认规则中遗漏的内容,我仍然可以进入。
阅读 NSG flow logs don't include container instances 后,我在相信用户拥有 NSG 与容器组一起工作但缺少日志,以及 NSG 根本不与容器组一起工作的可能性之间左右为难。如果有人在这里对正确使用 NSG 有任何指导,请告诉我。否则,如果有其他我应该使用的工具,请推荐它(Azure 防火墙包含在容器组教程中,但我认为对于我需要的东西来说完全矫枉过正,而且价格昂贵得令人望而却步)。
编辑:添加 NSG 规则图片 -
经过我的验证,目前,与 ACI 子网关联的 NSG 在这种情况下不适用于 Azure 负载均衡器后面的 SFTP 容器服务。此 NSG 规则不会阻止客户端的 public IP 地址,并且在没有它的情况下也能正常工作。
作为解决方法,您可以使用 this blog 之类的 NGINX 反向代理来限制 SFTP 访问,或者添加 Azure 应用程序网关反向代理之类的服务,以将面向 public 的流量定向到您的后端实例.
我终于正确设置了一个 azure sftp 容器实例,但我在为其配置安全性时 运行 撞墙了(很像那个人
我的基本流程是这样的:
Azure 上的 PIP ->
-> 使用 PIP 的负载均衡器可以被更广泛的网络访问 ->
-> 到后端子网的负载均衡规则 ->
-> 位于该子网上的 SFTP 容器组 ->
-> 该组中的 SFTP 容器
没什么特别的,我在关联 NSG 之前验证了网络正在按预期运行。与 SFTP 服务器的连接正常。问题是,在将 NSG 与容器组的子网相关联之后,我仍然能够在没有任何配置规则的情况下连接到它。即使应用规则 @ priority 100 拒绝所有流量,以排除我可能从默认规则中遗漏的内容,我仍然可以进入。
阅读 NSG flow logs don't include container instances 后,我在相信用户拥有 NSG 与容器组一起工作但缺少日志,以及 NSG 根本不与容器组一起工作的可能性之间左右为难。如果有人在这里对正确使用 NSG 有任何指导,请告诉我。否则,如果有其他我应该使用的工具,请推荐它(Azure 防火墙包含在容器组教程中,但我认为对于我需要的东西来说完全矫枉过正,而且价格昂贵得令人望而却步)。
编辑:添加 NSG 规则图片 -
经过我的验证,目前,与 ACI 子网关联的 NSG 在这种情况下不适用于 Azure 负载均衡器后面的 SFTP 容器服务。此 NSG 规则不会阻止客户端的 public IP 地址,并且在没有它的情况下也能正常工作。
作为解决方法,您可以使用 this blog 之类的 NGINX 反向代理来限制 SFTP 访问,或者添加 Azure 应用程序网关反向代理之类的服务,以将面向 public 的流量定向到您的后端实例.