问题标签 [azure-nsg]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
azure - 如何限制对子网的 Internet 访问,并仅允许来自同一 vnet 的另一个子网?
如何将入站 Internet 流量限制到 Subnet1 并允许来自同一 vnet 的 Subnet2 的流量?并启用到 Subnet2 的入站互联网流量。
如何在 Azure 中执行此操作?
azure - 如何将 Azure 负载均衡器前端的 Azure VM 上的源 IP 列入白名单
我有一个面向公众的标准 sku,Azure 负载平衡器,它使用负载平衡规则将某个端口的传入请求转发到虚拟机。此虚拟机在子网级别定义了一个 NSG,允许该端口的传入流量,源设置为“Internet”。
目前,此设置有效,但我需要实施白名单 - 仅允许特定 IP 地址集能够通过负载平衡器连接到此虚拟机。但是,如果我在 NSG 规则中删除“Internet”源类型,则无法再通过负载均衡器访问 VM。
有没有其他人遇到过类似的用例,在可通过负载均衡器访问的虚拟机上设置 IP 白名单的最佳方法是什么。谢谢!
编辑:提供更多细节
这些是在子网中定义的顶级 NSG。
我们有一个公共负载平衡器,位于应用上述 NSG 的虚拟机前面。此虚拟机没有特定的公共 IP,并且依赖于负载均衡器的公共 IP。
公共负载均衡器将端口 8443 和端口 8543 上的所有流量转发到此虚拟机,没有会话持久性,并且出站和入站使用相同的 IP。
以下是我到目前为止所做的观察:
- 除非我将 NSG 规则 Port_8443(在上表中)的源指定为“Internet”,否则无法通过负载平衡器的公共 IP 在此端口上访问此虚拟机。
- 当我保留仅将特定 IP 地址列入白名单的 NSG 规则 Port_8543 时,无法通过负载平衡器的公共 IP 在此端口上访问此虚拟机,即使其中一个列入白名单的客户端尝试连接到此端口也是如此。
- 我尝试将 NSG 规则 Custom_AllowAzureLoadBalancerInBound 添加到比 port_8543 更高的优先级,但它仍然没有打开此访问权限。
- 我还尝试将 Azure 负载均衡器 VIP (168.63.129.16) 添加到 Port_8543 NSG,但这也没有打开负载均衡器公共 IP 上对端口 8543 的访问。
我也玩过负载平衡规则选项,但似乎没有什么能实现我想要的——即:
- 目标 1:仅开放虚拟机在端口 8443 和端口 8543 上的访问权限给白名单的客户端 IP,并且
- 目标 2:允许列入白名单的客户端 IP 能够使用负载均衡器的公共 IP 连接到此虚拟机上的这些端口
我只能实现上述目标之一,但不能同时实现这两个目标。
我还尝试使用分配给虚拟机的专用公共 IP 进行相同的白名单;这也失去了与端口的连接,我没有分配“互联网”源标签。
azure - 出站 Internet 访问受限时如何在 VM 上运行 Azure Powershell cmdlet
我正在使用驻留在 VM 中的 Powershell 脚本来检索订阅中的资源列表。目前,我在 VM 的 NSG 上启用了出站 Internet。但我想在未来限制出站互联网访问。
当互联网访问被拒绝时,有没有办法运行 powershell 脚本?
azure-api-management - APIM 和 AKS 集成
我正在尝试将 APIM(外部)集成到运行 AKS 的 VNet。现在,我创建了 /29 CIDR 子网,其中有 AKS 子网并分配给 APIM,但 APIM 一直抱怨端口 3443 被阻止。如故障排除步骤https://docs.microsoft.com/en-us/azure/api-management/api-management-using-with-vnet#-common-network-中所述,我特别添加了允许 3443 的规则分配给子网的 NSG 的配置问题,但仍然抛出错误?有人可以帮助我如何进一步排除故障吗?
子网的 NSG 规则 -> 入站
更新:我已经从 APIM 所在的子网中删除了 NSG,但仍然显示相同的问题
powershell - 为所有订阅获取与给定 NSG 关联的子网和 NIC
我是 PS 的新手......试图在给定的订阅中获取 NSG(一旦这对所有订阅都有效)以显示以下属性(NSG 名称、位置、资源组、子网、NIC)。
我正在使用获取 NSG 列表和相应的子网或 NIC 中的以下脚本,但它为每个 NSG 列出相同的信息多次等于订阅中 NSG 的数量,因此脚本中一定有问题
还希望脚本忽略 NIC/子网的空值,因为一些 NSG 将分配给子网,而其他 NSG 将分配给 NIC 最后一个 NSG 可以分配给多个子网/NIC,所以我如何获得 $azNsg.Subnets.Id.Split ('/')[-1] 部分适用于 Subnets.Id 或 NetworkInterfaces.Id 中的多个条目,而不仅仅是最后一个?
谢谢
azure - 如何使用 powershell 从所有订阅中列出 Azure 网络安全组
我正在尝试创建一个 PowerShell 脚本来列出 Azure 网络安全组,它是所有订阅的规则并将其导出到 CSV。
下面是我的代码,其中列出了所有 NSG 规则名称、描述、优先级、SourceAddressPrefix、SourcePortRange、DestinationAddressPrefix、DestinationPortRange、协议、访问和方向。
我还尝试在$nsgRule |下调用对象 Resourcegroup、SubscriptionName Select-Object它给了我空白列,标题为 Resourcegroup,subscriptionName。
我试图得到这样的输出:
我不知道我需要在哪个 for 循环中进行更改才能获得上述输出。
基本上,我试图从所有订阅中列出所有带有规则的 Azure NSG,其中包含相应的 ResourcegroupName、subscriptionName。
postgresql - Hikari CP - Hikari 的封闭连接在数据库服务器中仍然存在
我正在使用 Spring Boot 应用程序连接到在 Azure 网络安全组后面运行的远程 Postgresql 服务器(9.2)。
当我将 hikari 属性设置为默认值(意味着 maxLifetime 为 30 mts)时,我经常遇到 Connection Unavailable 异常。在研究中我发现,服务器关闭的连接由于其生命周期而仍然保留在池中,因此为了解决这个问题,我将连接对象的生命周期减少到 5 分钟,池大小为 2。以下是 hikari我设置的属性:
我只限制了来自 Postgres 的 20 个允许连接,并且它不是由我管理的,我有访问限制。由于 hikari 通过关闭我的 Spring Boot 应用程序中的连接每 5 分钟创建新的两个对象,我看到使用 pg_stat_activity 查询在 Postgres 服务器中轰炸了太多的连接,并且我得到了用户的太多连接。
我尝试在连续尝试中将连接对象的 maxLifeTime 增加到 10、15 和 20 分钟,但我仍然可以看到来自数据库服务器端的更多连接
Hikari 关闭的连接不会在 Postgres 服务器中关闭。Postgres 服务器中连接保持活动或空闲的默认值/时间是多少?我该如何解决这个问题?
或者有没有办法通过 Hikari 关闭 Postgresql 服务器上的连接?
我想保持池大小为 2,因为我只有 20 个允许的总连接数
先感谢您!
ansible - NSG 配置管理
我正在寻找一种工具或某种方式来管理 Azure NSG 配置。目前,NSG 规则是临时手动更改的。我希望以更加脚本化的方式实现此 NSG 配置更改,以便我也可以跟踪更改历史记录。
我正在查看基于 Git 的 NSG 存储库,其中 NSG 的所有 ARM 模板具有不同的参数文件,并通过 Azure powershell 运行或作为 Azure Devops CI/CD 管道的一部分运行。
我不确定 Ansible 是否可以帮助管理 NSG 或 Terraform 是否可以提供帮助。
我喜欢为此考虑 Ansible。任何人都知道如何管理 NSG 的这一要求。
谢谢