azure - Azure NSG 不阻止流向子网 ACI 的流量
问题描述
我终于正确设置了一个 azure sftp 容器实例,但是在为其配置安全性时遇到了障碍(很像这里的人)。
我的基本流程是这样的:
Azure 上的 PIP ->
-> 使用 PIP 的负载均衡器可以通过更广泛的网络访问 ->
-> 到后端子网的负载均衡规则 ->
-> 位于该子网上的 SFTP 容器组 ->
-> 该组中的 SFTP 容器
没什么特别的,我在关联 NSG 之前验证了网络正在按预期运行。与 SFTP 服务器的连接正常。问题是,在将 NSG 与容器组的子网关联后,我仍然能够在没有任何配置规则的情况下连接到它。即使在应用规则@priority 100 拒绝所有流量,排除我可能从默认规则中遗漏的东西之后,我仍然可以进入。
在阅读了NSG 流日志如何不包含容器实例之后,我在认为用户有 NSG 使用容器组但缺少日志和 NSG 根本不使用容器组的可能性之间感到左右为难。如果有人在此处对正确使用 NSG 有任何指导,请告诉我。否则,如果我应该使用其他工具,请推荐它(Azure Firewall 包含在容器组教程中,但我认为完全超出了我的需要,而且价格也非常昂贵)。
解决方案
经过我的验证,目前,与 ACI 子网关联的 NSG 在这种情况下不适用于 Azure 负载均衡器后面的 SFTP 容器服务。此 NSG 规则不会阻止客户端的公共 IP 地址,它就像没有它一样工作。
作为一种解决方法,您可以使用 NGINX 反向代理来限制 SFTP 访问,例如此博客,或添加 Azure 应用程序网关反向代理之类的服务,以将面向公众的流量定向到后端实例。
推荐阅读
- reactjs - 静态和动态路径之间的反应路由
- javascript - React Chartjs 将不接受新值并更新
- python - 在 Python 中使用 Selenium 访问 Tor
- python - Python scikit-learn 从演讲者的句子中选择最佳单词
- java - Android studio-我很难弄清楚为什么 onTouchtEvent 不能识别手指移动。有什么建议么?
- c - C、stat() 问题 2、无法打开文件
- node.js - 无法在 Windows 10 中安装 Angular CLI
- antlr - ANTLR4 中预期的无关输入“-”
- r - Shiny中的自定义进度条
- ruby-on-rails - Rails 显示数据库中不需要的文本