У меня есть шлюз приложений Azure перед кластером AKS. В кластере есть некоторые внутренние IP-адреса, опубликованные с помощью внутреннего балансировщика нагрузки, поэтому с IP-адресами из подсети, в которой находится кластер.
Я определил группу сетевой безопасности в подсети шлюза и могу запретить / разрешить весь трафик на внутренние IP-адреса с помощью подстановочных знаков.
Однако я хочу более детально контролировать трафик, я хочу разрешить одному внешнему IP-адресу доступ к определенному внутреннему пулу шлюза, а другому внешнему IP-доступу - другому внутреннему пулу. Я попытался использовать IP-адреса внутреннего балансировщика нагрузки в пункте назначения, но, похоже, это не сработало. Фактически, я не знаю, каким будет IP-адрес назначения для входящего трафика, поскольку я не могу даже заблокировать входящий трафик, когда я указываю IP-адрес шлюза в качестве пункта назначения, только когда я использую *, я могу заблокировать весь входящий трафик.
Я мог бы решить эту проблему, используя несколько шлюзов, но это очень быстро становится дорогим.
Нет, вы не можете сделать это с помощью NSG (если вы не используете несколько шлюзов). Возможно, вы сможете сделать это с помощью какого-нибудь брандмауэра.