Можно ли иметь правила безопасности для разных внутренних пулов шлюза приложений Azure?
У меня есть шлюз приложений Azure перед кластером AKS. Кластер имеет некоторые внутренние IP-адреса, опубликованные через внутренний балансировщик нагрузки, поэтому с IP-адресами из подсети, в которой находится кластер.
Я определил группу сетевой безопасности в подсети шлюза и могу запретить / разрешить весь трафик на внутренние IP-адреса с использованием подстановочных знаков.
Однако я хочу более детально контролировать трафик, я хочу разрешить одному внешнему IP-адресу доступ к определенному внутреннему пулу шлюза, а другому внешнему IP-доступу к другому внутреннему пулу . Я попытался использовать IP-адреса внутреннего балансировщика нагрузки в пункте назначения, но, похоже, это не сработало. Фактически, я не знаю, каким будет IP-адрес назначения для входящего трафика, так как я даже не могу заблокировать входящий трафик, когда я помещаю IP-адрес шлюза в качестве пункта назначения, только когда я использую *, я могу заблокировать весь входящий трафик.
Я мог бы решить эту проблему, используя несколько шлюзов, но это очень быстро становится дорогостоящим.
Нет, вы не можете сделать это с помощью NSG (если вы не используете несколько шлюзов). Возможно, вы сможете сделать это с помощью какого-нибудь брандмауэра.