Azure NSG 未按预期工作

Posted 2023-02-19

【中文标题】Azure NSG 未按预期工作

【英文标题】：Azure NSG not working as expected

【发布时间】：2018-10-25 12:12:28

【问题描述】：

我有一个带有后端池的 Azure 外部负载平衡器，其中包含 1 个 kubernetes 主服务器，并且在端口 443 上有一个负载平衡规则。

我添加了一个优先级为 500 的规则，以拒绝来自 Internet 的 443 端口上的所有流量到 kubernetes 主服务器。工作正常

我添加了一个优先级为 400 的规则来接受来自某个公共 IP 的流量，因为我只想能够从该 IP 进行连接。我希望我应该能够连接，但我不能。

如果我更改接受从源 ip 到互联网的流量的规则，那么它可以正常工作。 我错过了什么？

亲切的问候

【问题讨论】：

您是否将传入 IP 添加为您的 IP 或负载均衡器 IP？我相信您需要将其设置为您正在连接的 LoadBalancers IP 和端口。

您是否设置了任何可能阻止流量的内部防火墙规则？

【参考方案1】：

“我添加了一个优先级为 400 的规则来接受来自 某些公共 IP，因为我只想能够从那里连接 ip。我希望我应该能够连接，但我不能。

如果我将接受来自源 IP 的流量的规则更改为 互联网然后它工作正常。我错过了什么？”

你可能错过的事情：

确保您没有指定源端口！这将是 从称为临时端口的可用端口池中获取 从您发起连接的客户端。 您正在阻止默认规则“允许 Azure 负载均衡器 IP”。 负载均衡器运行状况探测源自 IP 地址 168.63.129.16，不得阻止探测以标记您的实例。查看探测源 IP 地址以了解详细信息。

创建一个单独的规则来允许这个 IP，因为这是一个 MSFT IP，你应该没有问题允许这个。** 在全部拒绝之前（优先级

这肯定可以解决您的问题！

诊断和 RCA: 为什么会发生这种情况，Azure 负载均衡器探测 IP 被阻止，因此负载均衡器将后端服务器标记为不正常。