Azure NSG无法按预期工作

时间:2018-05-15 15:25:45

标签: azure azure-container-service network-security-groups

我有一个Azure外部负载均衡器,后端池包含1个kubernetes主服务器,并在端口443上有一个负载均衡规则。

我添加了一个优先级为500的规则,拒绝来自端口443的互联网上的所有流量到kubernetes主服务器。工作正常

我添加了一个优先级为400的规则来接受来自某个公共IP的流量,因为我只想从该ip连接。我希望我能够连接,但我不能。

如果我更改接受来自源IP到互联网的流量的规则,那么它可以正常工作。 我错过了什么?

亲切的问候

1 个答案:

答案 0 :(得分:0)

  

”“我添加了优先级为400的规则,以接受来自   某些公共IP,因为我只希望能够从该IP连接   ip。我希望我应该能够连接,但不能。

     

如果我将接受来自源IP的流量的规则更改为   互联网,然后工作正常。我想念什么?”

您可能错过的事情:

  1. 确保未指定源端口!这将是 取自称为临时端口的可用端口池 从客户端启动连接。
  2. 您正在阻止“允许Azure负载平衡器IP”(这是默认规则)。 负载平衡器运行状况探测器源自IP地址168.63.129.16,并且不得阻塞以使探测器标记您的实例。查看探针源IP地址以获取详细信息。

创建一个单独的规则以允许该IP,因为这是MSFT IP,您应该不会有任何问题。**在拒绝全部之前(优先级<500)

那应该可以解决您的问题!

诊断和RCA
发生这种情况的原因是,Azure负载平衡器探针IP被阻止,因此负载平衡器将后端服务器标记为不正常。

相关问题
最新问题