1

我正在尝试将对虚拟机上端点的访问限制为特定的外部 IP 地址。经过调查,我发现 Azure 上的网络安全组可能是合适的。我创建了一个网络安全组并将其附加到我的虚拟网络的子网中。

然后我创建了这两条规则,我认为它们只允许通过一个指定的 IP 地址进行访问:

规则如下:

 - Source: IP Addresses
 - Source IP address range: *
 - Source port range: *
 - Destination: *
 - Destination port range: *
 - Protocol: Any
 - Action Deny
 - Priority: 1000
 - Name: Deny-All

 - Source: IP Addresses
 - Source IP Address Range: XX.XXX.XXX.XX
 - Source Port Range: *
 - Destination: Any
 - Destination Port Range: *
 - Protocol: Any
 - Action: Allow
 - Priority: 700
 - Name: Allow-Specific

但是,当我尝试从指定的 IP 地址访问端点时,我似乎被阻止了。有谁知道我是否忘记了一步或做错了什么。NSG 阻止访问,但我似乎无法让白名单工作。

我检查了 NSG 日志,但不幸的是我无法检查源 IP 地址是什么。也许源 IP 地址可能在管道中的某个地方发生了变化,并且在它达到 NSG 规则之前就发生了变化。

4

1 回答 1

1

似乎与此有关的问题在于拒绝所有规则。我没有意识到 NSG 中已经内置了拒绝所有规则。出于某种原因,当我删除了我的自定义拒绝所有规则但留下了允许特定时,我能够访问白名单 IP 上的端点。

我不确定为什么会这样,如果有人有更多反馈,我很乐意听到。

于 2017-10-24T18:06:21.510 回答