0

因此,我在私有子网和 VNET 中部署了一个 Azure 容器实例组,其中 NSG 上的默认入站规则适用。

在此处输入图像描述 没有分配公共 IP(如预期的那样),但是我仍然能够利用 Azure CLI 从公共 IP 使用以下命令执行脚本。

az container exec --resource-group myResourceGroup --name myContainer --exec-command /bin/bash

理想情况下,NSG 入站规则应禁止在内部 VNET IP 地址范围之外进行此类调用。同样,az container logs&az container logs attach也能够从所述容器实例中检索日志。因此,我的问题是,为什么?这些呼入电话怎么没有被阻塞?

4

1 回答 1

0

因为这些不是呼入电话。这些是对 Azure REST API 的调用,而后者又会代表你执行某些操作。因此,本质上这与创建存储帐户或从门户关闭虚拟机相同。应该有一个提供者操作,负责调用该操作。您可以创建拒绝角色分配(使用 Azure 蓝图)或以用户无权访问该特定操作的方式制作角色。

于 2020-01-28T11:23:19.997 回答