У меня есть стандартный общедоступный балансировщик нагрузки Azure с несколькими виртуальными машинами за ним. Мне также нужно, чтобы виртуальные машины имели индивидуальный общедоступный статический IP-адрес (без балансировки нагрузки) для управления, поэтому я добавил общедоступный IP-адрес к сетевой карте каждой виртуальной машины. Группа сетевой безопасности находится в подсети виртуальной машины для управления доступом.
Мои настройки работают, но есть пара проблем.
Чтобы получить трафик с балансировкой нагрузки на nginx на виртуальных машинах, мне (по-видимому) нужно было добавить правило NSG, разрешающее «Интернет» доступ к портам, которые прослушивает nginx (7080,7443), с местом назначения - группой безопасности приложений, частью которой являются виртуальные машины. Однако это также открывает порты для выхода в Интернет на общедоступных IP-адресах, что мне на самом деле не нужно.
Правило доступа правильное?
Есть ли способ контролировать доступ к общедоступным IP-адресам, по крайней мере, чтобы вы не могли подключиться к nginx, кроме как через ALB?
Правило доступа правильное?
Да, это правильно, вам нужно открыть эти порты, которые прослушивает nginx, если вы хотите, чтобы трафик с балансировкой нагрузки на nginx на виртуальных машинах.
Есть ли способ контролировать доступ к общедоступным IP-адресам, по крайней мере, чтобы вы не могли подключиться к nginx, кроме как через ALB?
К сожалению, невозможно сделать контрольный доступ только для ALB от NSG. Обычно вы можете использовать NSG для фильтрации сетевого трафика для уровня подсети или NIC по приоритету, используя информацию из пяти кортежей (источник, исходный порт, пункт назначения, порт назначения и протокол), чтобы разрешить или запретить трафик. В этом случае все, что вы обращаетесь к серверным виртуальным машинам через ALB или отдельные общедоступные IP-адреса. Для каждого входящего правила у вас одинаковые порты, место назначения и протокол.
Ссылка: Группы безопасности сети Azure (NSG) - передовой опыт и извлеченные уроки