问题标签 [network-security-groups]

我已经构建了一个运行我的网站的 Fargate 集群。该服务正确启动网站的任务，但在尝试连接到我的数据库实例时停止。

如何将 Fargate 集群添加到我的数据库实例上的安全组。我没有可以找到的 fargate 集群的公共 IP 地址或范围。我在 aws 文档中找不到任何合适的指南。

我正在尝试通过具有多个源地址的 Terraform 为 Azure 中的网络安全组配置网络安全规则。

基于文档 https://www.terraform.io/docs/providers/azurerm/r/network_security_rule.html

但是，我无法使其正常工作，也找不到任何示例：

https://www.terraform.io/docs/providers/azurerm/r/network_security_rule.html#source_address_prefixes

我得到错误：

错误：azurerm_network_security_rule.test0：“source_address_prefix”：未设置必填字段错误：azurerm_network_security_rule.test0：：无效或未知密钥：source_address_prefixes

这是我的示例：

请告诉我。

谢谢！

我有两个 EC2 实例，它们都在同一个公共子网中，并且都在同一个可用区中。

我希望其中一个实例能够通过 SSH 访问另一个实例。

以下是我目前配置的安全组：

实例 #1：Web 服务器

• 允许httpinbound and outbound port 80 0.0.0.0/0
• 允许 httpsinbound and outbound port 443 0.0.0.0/0
• allow_internal_sshinbound and outbound port 22 allow_internal_ssh (self)

实例 #2：仅 SSH

• allow_sshinbound and outbound port 22 0.0.0.0/0 # soon to be my home IP
• allow_internal_sshinbound and outbound port 22 allow_internal_ssh (self)

我希望#1只能通过 SSH 从#2访问。

我想我可以通过为两者分配相同的安全组 ( allow_internal_ssh) 来做到这一点，但是，它不起作用！

使用上述设置，我无法连接到#2。

如果我为这两个实例提供allow_ssh安全组，我可以访问 SSH 服务器(#2)，然后从那里登录到 Web 服务器(#1)。

非常感谢任何有关调试此问题的建议或帮助从同一安全组设置 SSH 访问权限！

我有一个带有后端池的 Azure 外部负载均衡器，其中包含 1 个 kubernetes 主服务器，并且在端口 443 上有一个负载均衡规则。

我添加了一个优先级为 500 的规则，以拒绝来自 Internet 的 443 端口上的所有流量到 kubernetes 主服务器。工作正常

我添加了一个优先级为 400 的规则来接受来自某个公共 IP 的流量，因为我只想能够从该 IP 连接。我希望我应该能够连接，但我不能。

如果我更改接受从源 IP 到 Internet 的流量的规则，那么它工作正常。我错过了什么？

亲切的问候

我最近在 azure 上配置了一个指向站点 vpn 的点。

它在客户端和根证书原则上运行良好。

我更关心的是安全方面。是否可以将 vpn 的使用仅限于某些 ips ？例如，有时，即使人们出于任何原因拥有客户端证书，我也不希望他们能够从其他位置访问 azure 网络。

安全组位于 vpn 之后。由于 vpn 的工作方式，用户将拥有的 ip 将是 Azure 分配的 ip，因此我无法限制他的来源。

谢谢 ！

我想使用具有不同 NSG 的单个模板 json 文件创建 2 个 Azure VM。

vm-template.json

我将使用不同的参数从另一个模板调用上面的 vm-template.json 2 次。

如何在 vm-template.json 中使用 nsg1 for template1 和 nsg2 for template2？

我设置了一个 Azure ubuntu VM，创建了网络安全组，添加了端口 80 和 8888 规则。防火墙处于非活动状态。将 nsg 关联到 VM 的子网。无法远程连接到8888端口，但是telnet到80端口可以，8080端口也可以，即使没有规则允许8080。我实验并删除了80端口入站规则，但仍然可以访问80端口。

netstat -ant | grep 8888 显示一个进程正在监听 tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN

似乎访问没有遵循我的入站规则，而是遵循了一些默认设置。它可以做什么？

我想在 NSG 中使用单个 securityRule，而不是为每个目标端口使用单独的规则。

我在下面的模板中使用了带有多个端口的destinationPortRanges，而不是带有单个端口的destinationPortRange。

当我尝试使用 Azure CLI 运行上述模板时，由于以下错误，我无法继续

根据验证程序，模板部署“测试”无效。跟踪 ID 为“0ee64525-9d2b-49cb-bac7-24baa73ac1d7”。有关详细信息，请参阅内部错误。有关使用详情，请参阅https://aka.ms/arm-deploy。

更新：-

我收到上述错误，重命名安全规则名称后，问题得到解决。

我有一个 Azure 云服务和一个 Azure Kubernetes 服务 (AKS)。AKS 在 NSG 内。我想在网络安全组 (NSG) 中创建规则，以限制仅来自特定云服务的入站流量。

由于云服务 IP 可能会发生变化，因此我无法将 NSG 规则基于 IP。另外，我在 NSG 的 azure 服务标签列表中看不到云服务。

如何实现此 NSG 规则配置？

我们的应用程序具有以下结构。目前，我们在为我们的 Service Fabric 定义 NSG 规则以允许来自移动应用程序的调用时，将 Any 用于源和目标（在端口 3389 上）。但是我们的安全团队对 Any-Any 规则提出了担忧。有没有办法优化这个？

注意：我们的移动应用程序是公开的，任何人都可以从应用程序商店下载。