Контроль доступа с помощью виртуальных машин Azure Load Balancer, имеющих отдельные общедоступные IP-адреса

Question

Контроль доступа с помощью виртуальных машин Azure Load Balancer, имеющих отдельные общедоступные IP-адреса

У меня есть стандартный балансировщик нагрузки Azure с несколькими виртуальными машинами веб-сервера. Мне также нужно, чтобы у виртуальных машин был отдельный публичный статический IP-адрес (без балансировки нагрузки) для управления, поэтому я добавил публичный IP-адрес для NIC каждой виртуальной машины. Группа сетевой безопасности находится в подсети ВМ для контроля доступа.

Моя настройка функций, но есть несколько вопросов.

Чтобы получить сбалансированный по нагрузке трафик к nginx на виртуальных машинах, мне (казалось бы) нужно было добавить правило NSG, разрешающее "интернет" доступ к портам, которые прослушивает nginx (7080,7443) с назначением группы безопасности приложений, частью которой являются виртуальные машины. Это, однако, также открывает порты для интернета на общедоступных IP-адресах, которые мне не нужны.

Правильное ли правило доступа?

Есть ли способ контролировать доступ к общедоступным IP-адресам, по крайней мере, чтобы вы не могли подключиться к nginx, кроме как через ALB?

0

azure azure-networking

Источник

johngirvin 13 сен '18 в 17:29

1 ответ

Решение

Другие вопросы по тегам azure azure-networking

Nancy Xiong 14 сен '18 в 02:53 2018-09-14 02:53 · Accepted Answer · 2018-09-14 02:53

Правильное ли правило доступа?

Да, это правильно, вам нужно открыть эти порты, которые прослушивает nginx, если вы хотите, чтобы трафик с балансировкой нагрузки передавался в nginx на виртуальных машинах.

Есть ли способ контролировать доступ к общедоступным IP-адресам, по крайней мере, чтобы вы не могли подключиться к nginx, кроме как через ALB?

К сожалению, NSG не может контролировать доступ только для ALB. Как правило, вы можете использовать NSG для фильтрации сетевого трафика на уровне подсети или сетевого адаптера по приоритету, используя 5-кортежную информацию (источник, исходный порт, пункт назначения, порт назначения и протокол), чтобы разрешить или запретить трафик. В этом случае все, к чему вы обращаетесь к внутренним виртуальным машинам через ALB или отдельные публичные IP-адреса. Для каждого входящего правила у вас есть одинаковые порты, пункт назначения, протокол.

Ссылка: Группы безопасности сети Azure (NSG) - лучшие практики и извлеченные уроки