azure - Azure 容器实例能够通过 Az CLI 从公共 IP 运行执行脚本,尽管 VNET 仅入站 NSG
问题描述
因此,我在私有子网和 VNET 中部署了一个 Azure 容器实例组,其中 NSG 上的默认入站规则适用。
没有分配公共 IP(如预期的那样),但是我仍然能够利用 Azure CLI 从公共 IP 使用以下命令执行脚本。
az container exec --resource-group myResourceGroup --name myContainer --exec-command /bin/bash
理想情况下,NSG 入站规则应禁止在内部 VNET IP 地址范围之外进行此类调用。同样,az container logs
&az container logs attach
也能够从所述容器实例中检索日志。因此,我的问题是,为什么?这些呼入电话怎么没有被阻塞?
解决方案
因为这些不是呼入电话。这些是对 Azure REST API 的调用,而后者又会代表你执行某些操作。因此,本质上这与创建存储帐户或从门户关闭虚拟机相同。应该有一个提供者操作,负责调用该操作。您可以创建拒绝角色分配(使用 Azure 蓝图)或以用户无权访问该特定操作的方式制作角色。
推荐阅读
- javascript - 使用 howler.js 或其他库环绕 3d 音效?
- python - 使用递归对 range(1,n,2) 值求和
- reactjs - React TypeScript 16.8 - 如何在没有 Helmet 的情况下更改页面标题
- shell - 用于生成文件中的可选字符串的 Shell 通配符/glob
- android - MVVM 我应该从哪里订阅 Rx?
- mysql - 我正在尝试打开一个游标。尽管与 mysql 数据库有连接,但它无法正常工作
- c# - 如何使用 c# 执行时间比较来自 2 个数组的单个属性应该是最少的
- java - 如何在corda中创建服务以将任意数据存储在节点数据库中的任意位置而不是保险库内
- reactjs - 如何不使用“react-intl-translations-manager”删除现有翻译?
- excel - 如何将文本从 Excel 发送到一个单词(单元格)为粗体的 Word?