问题标签 [azure-nsg]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
network-interface - Azure 网络接口有效规则
我们正在寻找一种自动化方法来识别哪些是应用于网络接口 (NIC)的有效安全规则。我们知道我们可以使用REST API 调用来实现这一点:网络接口 - 列出有效的网络安全组 - REST API
但是我们对输出/结果有以下担忧:
- 一个NIC可以连接多少个网络安全组 (NSG)?哪个是当前限制,或者根本没有限制?
- 当有多个NSG连接到NIC并且这些NSG具有具有相同优先级的不同规则时,它们如何应用?Azure 如何将它们合并?
- 如果子网也链接到它们,是否会增加额外的复杂性?
azure - 如何在使用 Terraform 创建 Azure NSG 时更正此错误?
我正在尝试使用 Terraform 在 Azure 中创建 NSG。
Terraform 版本为v0.15.2,提供者版本为 azurerm v2.61.0
这是我的 TF 文件中的一段代码。
现在,当我运行terraform plan&时terraform apply,我得到了预期的输出:
现在,当我只保留source_port_range, destination_port_range, source_address_prefix, destination_address_prefix字段并terraform plan再次运行时,它给了我以下错误:
如果我添加这些并删除早期的,我会得到:
为什么会发生这种情况以及如何解决这个问题?
更新
考虑到评论中提到的观点并进行了一些更改以使其正常工作。
注意事项:
- 即使在文档中提到 Optional,Terraform 也需要 security_rule 块中的所有密钥。
- 此外,它不允许 Source/destination address_prefixes = ["*"] 像这样。Source/Destination address_prefix 完成了这项工作。
- 在未提及值的情况下,应使用 [] 而不是 [""]
azure - ARM 使用 NSG 创建子网
我正在尝试创建一个 arm 模板,该模板在现有 Vnet 上创建一个额外的子网,同时还创建 NSG,然后将其附加到子网。我已经到了创建 NSG 的地步,但是当我尝试将 NSG 连接到多个子网时,它无法创建子网和 NSG。下面的错误
我得到的错误是
azure - 如何使用 NSG 规则仅将 Azure 中 DNS 的特定 IP 列入白名单?
我想将 NSG 配置为将端口 53 列入我的内部 DNS 服务器的白名单,以及位于 168.63.129.16 的 Azure 平台 DNS,但阻止所有其他出站 DNS 连接。
我发现讨论(没有官方文档)说 DNS 流量是经过特殊处理的,因此对任何地方的通用拒绝所有出站规则都不起作用(参考 1,参考 2)。这也与我的测试一致。具体来说,这里有一些我尝试过的不能阻止 DNS 流量的出站拒绝规则:
| 资源 | 源端口 | 目的地 | 目的港 | 协议 |
|---|---|---|---|---|
| 任何 | * | 任何 | * | 任何 |
| 任何 | * | 任何 | 53 | 任何 |
| 任何 | * | <具体_IP> | * | 任何 |
| 任何 | * | <具体_IP> | 53 | 任何 |
以下是有效的方法:
| 资源 | 源端口 | 目的地 | 目的港 | 协议 |
|---|---|---|---|---|
| 任何 | * | ServiceTag => AzurePlatformDNS | * | 任何 |
但是,这会阻止到我的内部 DNS 和位于 168.63.129.16 的 Azure 平台 DNS 的流量。我可以为我的内部 DNS 设置白名单规则,但将 168.63.129.16 列入白名单似乎不起作用。
有什么方法可以专门完成我正在寻找的东西吗?(特定 IP 和 Azure 平台 DNS 的白名单)
最后,Azure 通过通用阻止所有出站 NSG 规则是否有任何其他特殊漏洞,是否有任何记录这些漏洞的地方?
azure - 所有网络端口限制在具有 dev 标签的网络安全组上
我正在根据我的要求创建自定义策略,我想要定义策略,其中“所有网络端口都应限制在仅具有dev标签的网络安全组上”。
错误:无法解析策略规则:“在“LeafExpressionDefinition”类型的对象上找不到成员“退出”。路径“退出”。
azure 策略定义中存在两个内置策略:
所有网络端口都应限制在与您的虚拟机关联的网络安全组上。链接https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2fproviders%2fMicrosoft.Authorization%2fpolicyDefinitions%2f9daedab3-fb2d-461e-b861-71790eead4f6
我结合并更新了我的要求,您可以检查创建的自定义策略,我认为一切正常。
azure - 如何使用 Azure PowerShell 创建 Azure 网络安全组流日志
我想为给定虚拟机的网络安全组创建一个 NSG 流日志,并使用 PowerShell 链接到给定的存储帐户。
我怎样才能做到这一点?
azure - Azure 备份需要端口?
我在 Azure 上创建了一个 DMZ 子网,并使用 NSG 锁定了所有内容(入站/出站)。目前我有一个 linux VM 正在运行,我的 azure 备份在 VM 上失败了。我去为入站和出站规则添加了 Azure 备份服务标签,但备份仍然失败。
关于我需要在 NSG 上打开的任何特定端口或其他服务器有什么想法吗?我很感激我能得到的任何帮助。
感谢大家!
azure - 允许 azure 网络安全组中的入站流量用于动态 IP
我们需要允许平台流量到达我们的系统(据我所知,在 azure 的网络安全组中添加静态公共 IP),但他们提到他们没有静态公共 IP 或一系列 IP 可列入白名单,而是一个静态域名
我在 azure 文档和一些问题中发现,目前在网络安全组资源中基于 FQDN 过滤流量是不可能的!
还有其他可能实现这一目标吗?
Azure 防火墙似乎只适用于出站规则(正如我从 azure 文档中了解到的那样)
还在等,请帮忙!!
这太有线了,以前有人遇到过同样的情况吗??
vpn - 将本地设备连接到 Azure Active Directory 域服务
找不到将本地设备连接到 Azure AD 域服务 (AADDS) 的明确文档。
已成功设置 Azure WAN + Azure Hub + 用户点对点 VPN 连接。
但是没有关于如何设置 NSG 规则以连接到 AADDS 域控制器的明确文档。
有关下一步故障排除步骤的任何文档/提示都会有所帮助。
azure - 当我将一个空的 nsg 添加到子网时会发生什么变化?
当我使用 Azure 门户创建 AKS 群集时,它会创建一个包含单个子网的 VNET。子网没有任何关联的 NSG,如下所示:
据我了解,没有任何 NSG 的子网有点不寻常。我想向子网添加一个普通的空 NSG。只要我将任何 NSG 添加到上述子网,AKS 就不再起作用,直到我删除 NSG。
我期待在上面的子网中添加一个简单的最小 NSG 不应该阻止任何东西。
没有任何 NSG 的子网和默认为空 nsg 的子网有什么区别?