适用于来自 Azure 云服务的流量的 Azure NSG 规则

Posted 2023-02-19

【中文标题】适用于来自 Azure 云服务的流量的 Azure NSG 规则

【英文标题】：Azure NSG rules for traffic from an Azure Cloud Service

【发布时间】：2019-02-03 10:26:09

【问题描述】：

我有一个 Azure 云服务和一个 Azure Kubernetes 服务 (AKS)。 AKS 在 NSG 内。我想在网络安全组 (NSG) 中创建规则，以限制仅来自特定云服务的入站流量。

由于云服务 IP 可能发生变化，我无法将 NSG 规则基于 IP。另外，我在 NSG 的 azure 服务标签列表中没有看到云服务。

如何实现这个 NSG 规则配置？

【问题讨论】：

为什么不用内网？

您能否详细说明您的意见。哪个内部网络？

创建它的 vnet

对不起，你对我没有任何意义。请在这里详细说明。

aks 也是在 vnet、云服务中创建的。对等 vnet 并使用内部流量

【参考方案1】：

您似乎只想限制从特定云服务到 AKS 的入站流量。相反，您可以添加入站规则以允许您想要访问 AKS 的流量，然后您未添加允许规则的流量将被拒绝，因为每个 NSG 中都有一个 DenyAllInBound 入站规则。流量根据优先级进行过滤。入站规则中的（高优先级是小值）。

更新

如果您在入站流量中只允许一个特定的云服务，您只需将源设置为您的 NSG 入站规则中的特定 IP 地址。除非您停止并重新开始提供服务，否则为云服务分配的 IP 地址不会更改。如果您确保即使取消和重新配置也知道订阅中的固定 IP 地址，则可以为云服务使用保留 IP 地址。参考：Static IP for Cloud Service on Azure

Reserved IP addresses (Classic)

【讨论】：

我的问题是关于如何将我的云服务添加到这些 NSG 规则中？云服务的IP是唯一途径吗？

入站规则中的来源可以是任意的，ip地址，服务标签，应用安全组，参考this。我可以知道您想要限制的具体服务是什么吗？如果您只是想拒绝该云服务，您可以允许其他服务，然后特定的云服务将被最后一条规则拒绝。

我想只允许云服务并拒绝所有其他入站到 NSG 的流量。

我之前误会你了，你可以这样做，请查看我的更新。