我正在尝试将对虚拟机上的端点的访问权限仅限于特定的外部IP地址。经过调查,我发现Azure上的网络安全组可能是合适的。我创建了一个网络安全组并将其连接到我的虚拟网络的子网。
然后我创建了这两个规则,我认为这些规则只允许通过一个指定的IP地址进行访问:
规则如下:
- Source: IP Addresses
- Source IP address range: *
- Source port range: *
- Destination: *
- Destination port range: *
- Protocol: Any
- Action Deny
- Priority: 1000
- Name: Deny-All
- Source: IP Addresses
- Source IP Address Range: XX.XXX.XXX.XX
- Source Port Range: *
- Destination: Any
- Destination Port Range: *
- Protocol: Any
- Action: Allow
- Priority: 700
- Name: Allow-Specific
但是,当我尝试从指定的IP地址访问端点时,我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。 NSG阻止访问,但我似乎无法使白名单正常工作。
我已检查过NSG日志,但遗憾的是我无法检查源IP地址是什么。也许源IP地址可能会在管道的某个地方发生变化,并且在它达到NSG规则之前就会发生变化。
答案 0 :(得分:1)
似乎这个问题在于否认所有规则。我没有意识到已经有一个否认所有纳入NSG的规则。出于某种原因,当我删除自定义Deny-All规则但离开Allow-Specific时,我能够访问列入白名单的IP上的端点。
我不确定为什么会这样,如果有人有更多反馈,我会很高兴听到它。