因此,我在私有子网和 VNET 中部署了一个 Azure 容器实例组,其中 NSG 上的默认入站规则适用。
没有分配公共 IP(如预期的那样),但是我仍然能够利用 Azure CLI 从公共 IP 使用以下命令执行脚本。
az container exec --resource-group myResourceGroup --name myContainer --exec-command /bin/bash
理想情况下,NSG 入站规则应禁止在内部 VNET IP 地址范围之外进行此类调用。同样,az container logs
&az container logs attach
也能够从所述容器实例中检索日志。因此,我的问题是,为什么?这些呼入电话怎么没有被阻塞?