问题标签 [azure-nsg]

我们有一些 Web 应用程序需要访问网络安全组后面的 VM 上的数据库。我们如何通过网络安全组允许 Web 应用程序？

因此，我在私有子网和 VNET 中部署了一个 Azure 容器实例组，其中 NSG 上的默认入站规则适用。

没有分配公共 IP（如预期的那样），但是我仍然能够利用 Azure CLI 从公共 IP 使用以下命令执行脚本。

理想情况下，NSG 入站规则应禁止在内部 VNET IP 地址范围之外进行此类调用。同样，az container logs&az container logs attach也能够从所述容器实例中检索日志。因此，我的问题是，为什么？这些呼入电话怎么没有被阻塞？

根据此公告，现已发布对使用 ARM 模板创建 NSG 流日志的支持，因此正在尝试可以执行相同操作的快速启动 ARM 模板，但似乎有一个先决条件需要在此之前模板已部署。即需要启用区域（目标 NSG 的区域）中的网络观察者资源。

这对于在您不确定是否启用网络观察程序的多个区域复制部署可能具有高度限制性。这可能最终导致部署失败。

在使用 Powershell 或 ARM 模板部署 NSG 流日志时，是否有任何方法可以自动启用网络观察程序资源？

Azure 对实例的传入流量收费。但是，Azure 是否也会对被相关网络安全组 (NSG) 防火墙规则阻止且未到达实例的传入流量收费？

我正在尝试了解网络安全组和应用程序安全组。我想要实现的是我有一个如下的基本设置。

在我的 vnet 中，我有 2 个子网，它们分别是前端和后端，并且每个子网都分配有 2 个 NSG。

假设我决定只允许来自“前端”子网的请求在我的“后端”子网上发出 RDP 请求，并拒绝来自其他子网的任何其他 RDP 请求。

我知道，如果我创建 ASG 并将前端 VM 和后端 VM 分配一个应用程序安全组，那么我可以在 NSG 上创建一个规则，允许从一个 ASG 向另一个 ASG 的 RDP 请求来实现这一点，但如果你有几十个 VM在子网中，您不会想浪费时间为每个虚拟机分配一个 ASG。

有没有办法在子网上定义允许来自其他子网的特定请求的规则？

在使用 powershell 在 Azure 中创建 NSG 规则时，我正在尝试向 SourceAddressPrefix 添加多个 CIDR。我在运行 Set-AzNetworkSecurityGroup 时收到错误消息，因此它在使用 New-AzNetworkSecurityRuleConfig 创建规则时接受该值。任何人都知道如何解决它？注意：是的，我知道我可以创建多个规则，但我想尽可能避免这种情况。

使用门户可以正常工作，但使用 Powershell 我收到错误消息。

尝试1：

错误信息：

尝试2：

错误信息（相同的错误信息）：

我想将 Azure 存储帐户添加到 VNet/网络安全组，但一直收到授权失败消息。

错误是：'代码：AuthorizationFailure 内容：_CYCLIC_OBJECT_ 消息：此请求无权执行此操作。

我已使用 Microsoft.Storage 服务端点将 VNet 添加到存储帐户，并且子网已与 NSG 关联。

我使用 NSG 上的存储服务标签为 IP 地址创建了入站规则和出站规则。

我什至尝试过使用所有互联网入站规则，但没有任何乐趣。

如果我将存储帐户的防火墙和虚拟网络设置中的 IP 地址列入白名单，那么它可以正常工作。

有什么我想念的吗？

我正在寻找一些帮助来配置启用防火墙并加入 VNet 的 ADLS Gen2，以便我可以从 ADF 连接到它。

如果我将 Azure IR 的IP 地址添加到存储防火墙，而不添加 VNet，则链接服务连接成功，但是，当我将 VNet 添加到存储时，连接测试失败并出现一般错误消息，好像防火墙阻止了连接。

我还尝试将 Azure IR IP 地址/DataFactory 服务标记作为入站规则添加到 NSG，但这没有区别，连接仍然失败。

有什么建议么？

谢谢

我有一个用于查找所有入站的脚本，允许 Azure NSG 中的规则是任何源。它正在完成他的工作，但只需要大量时间来迭代 Azure 中每个可用 NSG 中的每个规则。

问题是有什么方法可以优化它，所以它可以更快地工作吗？谢谢！

我想从 azure monitor 获取实时日志数据，但无法为此在 java 中找到结构和 api。该程序将作为 cron 运行并从 azure monitor 中提取不同的日志。

这将是什么结构/ api。