问题标签 [azure-nsg]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
20 浏览

network-interface - Azure 网络接口有效规则

我们正在寻找一种自动化方法来识别哪些是应用于网络接口 (NIC)的有效安全规则。我们知道我们可以使用REST API 调用来实现这一点:网络接口 - 列出有效的网络安全组 - REST API

但是我们对输出/结果有以下担忧:

  1. 一个NIC可以连接多少个网络安全组 (NSG)?哪个是当前限制,或者根本没有限制?
  2. 当有多个NSG连接到NIC并且这些NSG具有具有相同优先级的不同规则时,它们如何应用?Azure 如何将它们合并?
  3. 如果子网也链接到它们,是否会增加额外的复杂性?
0 投票
1 回答
219 浏览

azure - 如何在使用 Terraform 创建 Azure NSG 时更正此错误?

我正在尝试使用 Terraform 在 Azure 中创建 NSG。

Terraform 版本为v0.15.2,提供者版本为 azurerm v2.61.0

这是我的 TF 文件中的一段代码。

现在,当我运行terraform plan&时terraform apply,我得到了预期的输出:

现在,当我只保留source_port_range, destination_port_range, source_address_prefix, destination_address_prefix字段并terraform plan再次运行时,它给了我以下错误:

如果我添加这些并删除早期的,我会得到:

为什么会发生这种情况以及如何解决这个问题?

更新

考虑到评论中提到的观点并进行了一些更改以使其正常工作。

注意事项:

  • 即使在文档中提到 Optional,Terraform 也需要 security_rule 块中的所有密钥。
  • 此外,它不允许 Source/destination address_prefixes = ["*"] 像这样。Source/Destination address_prefix 完成了这项工作。
  • 在未提及值的情况下,应使用 [] 而不是 [""]
0 投票
1 回答
299 浏览

azure - ARM 使用 NSG 创建子网

我正在尝试创建一个 arm 模板,该模板在现有 Vnet 上创建一个额外的子网,同时还创建 NSG,然后将其附加到子网。我已经到了创建 NSG 的地步,但是当我尝试将 NSG 连接到多个子网时,它无法创建子网和 NSG。下面的错误

我得到的错误是

0 投票
0 回答
106 浏览

azure - 如何使用 NSG 规则仅将 Azure 中 DNS 的特定 IP 列入白名单?

我想将 NSG 配置为将端口 53 列入我的内部 DNS 服务器的白名单,以及位于 168.63.129.16 的 Azure 平台 DNS,但阻止所有其他出站 DNS 连接。

我发现讨论(没有官方文档)说 DNS 流量是经过特殊处理的,因此对任何地方的通用拒绝所有出站规则都不起作用(参考 1参考 2)。这也与我的测试一致。具体来说,这里有一些我尝试过的不能阻止 DNS 流量的出站拒绝规则:

资源 源端口 目的地 目的港 协议
任何 * 任何 * 任何
任何 * 任何 53 任何
任何 * <具体_IP> * 任何
任何 * <具体_IP> 53 任何

以下是有效的方法:

资源 源端口 目的地 目的港 协议
任何 * ServiceTag => AzurePlatformDNS * 任何

但是,这会阻止到我的内部 DNS 和位于 168.63.129.16 的 Azure 平台 DNS 的流量。我可以为我的内部 DNS 设置白名单规则,但将 168.63.129.16 列入白名单似乎不起作用。

有什么方法可以专门完成我正在寻找的东西吗?(特定 IP 和 Azure 平台 DNS 的白名单)

最后,Azure 通过通用阻止所有出站 NSG 规则是否有任何其他特殊漏洞,是否有任何记录这些漏洞的地方?

0 投票
2 回答
245 浏览

azure - 所有网络端口限制在具有 dev 标签的网络安全组上

我正在根据我的要求创建自定义策略,我想要定义策略,其中“所有网络端口都应限制在仅具有dev标签网络安全组上”。

错误:无法解析策略规则:“在“LeafExpressionDefinition”类型的对象上找不到成员“退出”。路径“退出”。

azure 策略定义中存在两个内置策略:

  1. 所有网络端口都应限制在与您的虚拟机关联的网络安全组上。链接https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2fproviders%2fMicrosoft.Authorization%2fpolicyDefinitions%2f9daedab3-fb2d-461e-b861-71790eead4f6

  2. 需要资源组上的标签。链接https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F871b6d14-10aa-478d-b590-94f262ecfa99

我结合并更新了我的要求,您可以检查创建的自定义策略,我认为一切正常。

0 投票
1 回答
170 浏览

azure - 如何使用 Azure PowerShell 创建 Azure 网络安全组流日志

我想为给定虚拟机的网络安全组创建一个 NSG 流日志,并使用 PowerShell 链接到给定的存储帐户。

我怎样才能做到这一点?

0 投票
1 回答
146 浏览

azure - Azure 备份需要端口?

我在 Azure 上创建了一个 DMZ 子网,并使用 NSG 锁定了所有内容(入站/出站)。目前我有一个 linux VM 正在运行,我的 azure 备份在 VM 上失败了。我去为入站和出站规则添加了 Azure 备份服务标签,但备份仍然失败。

关于我需要在 NSG 上打开的任何特定端口或其他服务器有什么想法吗?我很感激我能得到的任何帮助。

感谢大家!

0 投票
0 回答
114 浏览

azure - 允许 azure 网络安全组中的入站流量用于动态 IP

我们需要允许平台流量到达我们的系统(据我所知,在 azure 的网络安全组中添加静态公共 IP),但他们提到他们没有静态公共 IP 或一系列 IP 可列入白名单,而是一个静态域名

我在 azure 文档和一些问题中发现,目前在网络安全组资源中基于 FQDN 过滤流量是不可能的!

还有其他可能实现这一目标吗?

Azure 防火墙似乎只适用于出站规则(正如我从 azure 文档中了解到的那样)

还在等,请帮忙!!

这太有线了,以前有人遇到过同样的情况吗??

0 投票
2 回答
179 浏览

vpn - 将本地设备连接到 Azure Active Directory 域服务

找不到将本地设备连接到 Azure AD 域服务 (AADDS) 的明确文档。

已成功设置 Azure WAN + Azure Hub + 用户点对点 VPN 连接。

但是没有关于如何设置 NSG 规则以连接到 AADDS 域控制器的明确文档。

有关下一步故障排除步骤的任何文档/提示都会有所帮助。

0 投票
1 回答
43 浏览

azure - 当我将一个空的 nsg 添加到子网时会发生什么变化?

当我使用 Azure 门户创建 AKS 群集时,它会创建一个包含单个子网的 VNET。子网没有任何关联的 NSG,如下所示:

在此处输入图像描述

据我了解,没有任何 NSG 的子网有点不寻常。我想向子网添加一个普通的空 NSG。只要我将任何 NSG 添加到上述子网,AKS 就不再起作用,直到我删除 NSG。

我期待在上面的子网中添加一个简单的最小 NSG 不应该阻止任何东西。

没有任何 NSG 的子网和默认为空 nsg 的子网有什么区别?