Управление доступом с помощью виртуальных машин Azure Load Balancer, имеющих индивидуальные общедоступные IP-адреса
У меня есть стандартный общедоступный балансировщик нагрузки Azure с несколькими виртуальными машинами веб-сервера за ним. Мне также нужно, чтобы виртуальные машины имели индивидуальный общедоступный статический IP-адрес (без балансировки нагрузки) для управления, поэтому я добавил общедоступный IP-адрес к сетевой карте каждой виртуальной машины. Группа сетевой безопасности находится в подсети виртуальных машин для управления доступом.
Мои настройки работают, но есть несколько проблем.
Чтобы получить трафик с балансировкой нагрузки на nginx на виртуальных машинах, мне (по-видимому) потребовалось добавить группу безопасности сети. правило, разрешающее "Интернет" доступ к портам, которые прослушивает nginx (7080, 7443) с местом назначения - группа безопасности приложений, частью которой являются виртуальные машины. Однако при этом также открываются порты для выхода в Интернет на общедоступных IP-адресах, чего я не хочу.
Правило доступа правильное?
Есть ли способ контролировать доступ к общедоступным IP-адресам, по крайней мере, так что вы не можете подключиться к nginx, кроме как через ALB?
Правило доступа правильное?
Да, правильно, вам нужно открыть эти порты, которые прослушивает nginx, если вы хотите, чтобы трафик с балансировкой нагрузки к nginx на виртуальных машинах.
есть способ контролировать доступ к общедоступным IP-адресам, по крайней мере, чтобы вы не можете подключиться к nginx, кроме как через ALB?
К сожалению, невозможно управлять доступом только для ALB через NSG. Обычно вы можете использовать NSG для фильтрации сетевого трафика для уровня подсети или NIC по приоритету, используя информацию из пяти кортежей (источник, исходный порт, пункт назначения, порт назначения и протокол), чтобы разрешить или запретить трафик. В этом случае независимо от того, что вы получаете доступ к серверным виртуальным машинам через ALB или отдельные общедоступные IP-адреса. Для каждого входящего правила у вас одинаковые порты, место назначения и протокол.
Ссылка: Группы безопасности сети Azure (NSG) - передовой опыт и извлеченные уроки