Как вы обрабатываете правила брандмауэра из нескольких источников, каждый из которых требует открытия десятков портов?
У нас есть несколько местоположений, которые все должны подключиться к одной виртуальной сети Azure. У меня есть группа сетевой безопасности для нашей частной DMZ, которая должна разрешить порты 22, 80, 443, 445, 3306, 3389, 8080, 8443, 8843, 8880 и некоторые другие.
Я обнаружил, что ограничение правил 4096 в Azure быстро заполняется.
Поскольку исходный IP-адрес всегда будет нашей сетью, каковы последствия простого разрешения ВСЕХ из каждого источника и сокращения 35-40 правил на сайт до одного. Наши хосты Linux также используют iptables и имеют более подробную политику, которая ограничивает порт исходным IP.
Поддержка Azure NSG Source IP address range+Destination port range.
Однако на данный момент диапазоны IP-адресов поддерживают только один диапазон, если у вас несколько диапазонов IP-адресов, вам нужно создать несколько правил NSG. Итак, если возможно, я предлагаю вам объединить сегмент IP-адреса, это уменьшит ваши правила NSG.