我可以做些什么来修复此咨询消息?
与之相关的 VM 是位于 Azure LoadBalancer 后面的 Web 服务器。导致此问题的 NSG 规则(只有 1 条“非默认规则”)是:
Type: Allow
Source: Service Tag - Internet, source port range = *
Destination: ASG for this VM, destination port 80,443, protocol tcp
如果我删除此规则,则消息会消失(几个小时后),但 Internet 网络流量无法再到达 VM。
我应该忽略 Azure 咨询消息吗?还是我忽略了什么?我期待着得到这样的整洁,并有一个“满意”的咨询状态。
我看到您的 VM 位于 Azure LoadBalancer 后面。因此,网络流可能类似于:
然后,您的 Web 服务器不应该对 Internet 公开。它应该只能从负载均衡器访问。您可以将源服务标签设置为 AzureLoadBalancer。有关服务标签的更多信息,您可以查看官方文档:服务标签
更新:
通过进一步研究,AzureLoadBalancerNSG 规则中的服务标签用于允许 Azure 健康探测。实际上,有一个默认规则允许负载均衡器探测端点。
所以,建议是:
您不应为每个实例分配公共 IP。这样,您的后端只能通过私有 IP 访问。换句话说,客户端只能通过负载均衡器访问您的网络。
为 Web 服务添加具有 80 和 443 端口的 NSG 入站规则。以及用于远程管理的 22 或 3389 端口。
在这种情况下,您的服务器现在应该是安全的。如果仍然有任何警告,我认为您可以忽略它们。Azure 系统可能只是看到你公开了 80 和 443 端口。但是,您的实例没有公共 IP。
希望以上内容对您有所帮助。
您可以在 VM 上的 80 和 443 端口以外的不同端口上运行 Web 服务器。负载均衡器可以在您的公共 IP 上的端口 80/443 和您在 VM 中选择的任何端口之间进行转换。由于负载均衡器是一项相当简单的服务,因此这可能是您唯一的选择。
作为替代方案,您可以尝试应用程序网关而不是负载均衡器。它应该充当您需要的反向代理。请注意,它比负载均衡器贵一点,但它也有更多的功能。