问题标签 [network-security-groups]

我创建了一个包含两个实例的规模集，并将该规模集与应用程序网关连接起来。现在，我想通过 ssh 进入实例，但我无法使用应用程序网关来实现。实例未分配公共 IP。

我能够使用负载均衡器 ssh 进入实例（当规模集连接到负载均衡器时）。

我尝试创建 NSG 并将 NSG 与应用程序网关子网相关联，但仍无法通过 ssh 连接到规模集实例。

如何通过 ssh 进入应用程序网关后面的规模集实例？

我正在尝试将 1 个 ID 添加到 Active Directory 中的多个安全组。ID 只需要添加到安全组的“安全选项卡”中，不需要添加为成员。

我需要为此 ID 设置“写入”权限。

无论如何在Power-Shell中这样做吗？

我创建了一个子网，将 Cosmos DB 连接为服务端点。除了 Cosmos DB 的 IP 防火墙外，我还想通过 NSG 规则控制出站。但是，如果我创建一个规则，该规则拒绝所有出站（也使用拒绝所有入站进行测试），当通过 Mongo 客户端连接到数据库时，它似乎必须生效。

这是预期的行为吗？

有没有办法通过虚拟网络集成来限制 Azure 事件中心，以允许从公共入口和出口到特定 VNET？

1. 我最近使用 Azure 站点恢复复制了我的 Azure VM 并执行了测试故障转移。我很失望地看到 NSG 规则，路由表没有从源反映到目标。如果网络设置没有从源反映到目标，我认为它不会使用站点恢复。我错过了任何步骤吗？我还为源 NSG 创建了“允许 443 端口出站规则”。
2. 如何为与源位置对应的 Site Recovery IP 创建出站 HTTPS (443) 规则：位置-美国东部、Site Recovery IP 地址-13.82.88.226、Site Recovery 监控 IP 地址-104.45.147.24

我在 Azure 中设置了站点对点 VPN。我想为使用 VPN 客户端登录的用户允许端口 3389、22、5432、8080，同时在此 VM 的公共 IP 上只允许端口 8080。这些配置可以在 NSG 上完成 我怎样才能做到这一点？

在 VM/Networking 选项卡中，我可以看到连接到子网的 NSG 和连接到 NIC 的另一个 NSG。

我正在尝试构建一个简单的 API 调用来检索我组织中的所有组。当我进行此调用时：https://graph.microsoft.com/v1.0/groups，响应成功，但不会带来所有组，该列表中没有安全组。

奇怪的是，如果我调用指定给定安全组https://graph.microsoft.com/v1.0/groups/ {id} 的 id，它会给我带来该组的数据。

我一直在调查，找不到这是为什么，我开始认为你不能将安全组拉到一个列表中，你只能一个一个地调用它。

我为我正在验证的用户授予了 Group.Read.All 权限。

作为标题中的问题，我在 Azure Cloud 上设置了以下架构，并且在限制从 Internet 直接访问 VM 时遇到了麻烦。

以下是架构要求：

• 两个虚拟机都必须有公共 ips（系统管理员才能通过 SSH 访问）
• 必须拒绝从 Internet 到 VM 上的 WebService 的直接流量（通过端口 80）
• 来自 Internet 的 Web 流量必须通过公共 LB 到 VM

假设两个 VM 都在 WebASG（应用程序安全组）中，在应用于 VM 子网的 NSG 设置中，我添加了一些规则（其优先级高于 3 个 Azure NSG 默认规则）：

1. 场景 A（添加 1 条自定义规则）：

端口：80 - 协议：Tcp - 源：Internet - 目标： WebASG - 操作：允许

使用此 NSG 设置，我可以从 LoadBalancer IP 访问 WebService（满足 #3 要求），但是两个 VM 的端口 80 上的 WebService 将暴露给 Internet（这违反了 #2 要求）

2. 场景 B（添加 2 条自定义规则）：

端口：80 - 协议：Tcp - 源：AzureLoadBalancer - 目标：WebASG - 操作：允许

端口：80 - 协议：Tcp - 来源：Internet - 目的地： WebASG - 操作：拒绝

使用此 NSG 设置，满足 #2 要求，但访问 LoadBalancer IP 时无法访问 WebService（违反 #3 要求）

请注意：使用 AGW（Azure 应用程序网关，我可以通过这些 NSG 配置实现所有要求：

规则名称：AllowSSH端口：22 - 协议：Tcp - 源： sys-admin-ip-address - 目标：WebASG - 操作：允许

规则名称：DenyInternet2Web端口：任意- 协议：任意- 源：Internet - 目标：WebASG - 操作：拒绝

规则名称：AllowProbe2Web端口：80 - 协议：Tcp - 源：VirtualNetwork - 目标：WebASG - 操作： 允许

规则名称：AllowProbe2Web端口：80 - 协议：Tcp - 源：VirtualNetwork - 目标：WebASG - 操作： 允许

我不想使用 AGW，因为它会比 Azure LoadBalancer 花费更多的钱（实际上 Basic LoadBalancer 是免费的）。那么，在使用 LoadBalancer 时如何更改 NSG 以满足所有要求？

提前感谢您的帮助！

有没有办法为相同的安全规则添加一个源地址前缀数组，我已经有了带有单个 Ip 的变量“sourceaddresspprefix”

Elastic Beanstalk 安全组的处理似乎发生了一些变化，今晚在 UTC 00:00，网络服务器失去了与 RDS 的连接。我登录到 EC2 控制台，一切正常，属于 RDS 实例的安全组有一个入站规则，该规则接受 MySql 端口到已选择到 Elastic Beanstalk 配置的安全组。

当我将 RDS 安全组入站规则设置为 Web 服务器和 RDS 服务器可以连接的任何位置时。当我为 EB 的安全组添加规​​则时，网络服务器无法再连接到 RDS。

这已经工作了多年，没有任何改变，它不再工作了，我找不到解决方案。

有什么建议么？