【发布时间】:2021-11-17 22:27:34
【问题描述】:
请有人建议如何将端口 80/443 上的访问限制为某些 Azure VM,以便它们只能通过与 Azure 负载均衡器关联的公共 IP 地址进行访问。
我们当前的设置有负载平衡规则,将流量从 80=>80 和 443=>443 上的公共 IP 传递到 2 个虚拟机的后端池。我们在端口 80 上设置了健康探测。会话持久性设置为客户端 IP,浮动 IP 已禁用。
我认为答案是拒绝(通过网络安全组)访问 80/443 上的互联网(服务标签)。然后添加规则以允许相同端口上的服务标记 (AzureLoadBalancer)。但这似乎没有效果。对此进行了更多阅读后,似乎 AzureLoadBalancer 标签仅允许运行状况探测访问,而不是专门用于来自该负载均衡器的入站流量。
我也尝试添加规则以允许负载均衡器的公共 IP 地址,但同样没有效果。
我想知道是否需要开始研究 Azure 防火墙?并以某种方式限制访问 到通过它的入站流量?
我能让虚拟机响应这些端口的唯一方法是添加规则以允许从任意到任意的 80/443....
【问题讨论】:
标签: azure security networking azure-load-balancer