问题标签 [network-security-groups]

我们正在寻找一种自动化方法来识别哪些是应用于网络接口 (NIC)的有效安全规则。我们知道我们可以使用REST API 调用来实现这一点：网络接口 - 列出有效的网络安全组 - REST API

但是我们对输出/结果有以下担忧：

1. 一个NIC可以连接多少个网络安全组 (NSG)？哪个是当前限制，或者根本没有限制？
2. 当有多个NSG连接到NIC并且这些NSG具有具有相同优先级的不同规则时，它们如何应用？Azure 如何将它们合并？
3. 如果子网也链接到它们，是否会增加额外的复杂性？

我正在根据我的要求创建自定义策略，我想要定义策略，其中“所有网络端口都应限制在仅具有dev标签的网络安全组上”。

错误：无法解析策略规则：“在“LeafExpressionDefinition”类型的对象上找不到成员“退出”。路径“退出”。

azure 策略定义中存在两个内置策略：

1. 所有网络端口都应限制在与您的虚拟机关联的网络安全组上。链接https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2fproviders%2fMicrosoft.Authorization%2fpolicyDefinitions%2f9daedab3-fb2d-461e-b861-71790eead4f6

2. 需要资源组上的标签。链接https://portal.azure.com/#blade/Microsoft_Azure_Policy/PolicyDetailBlade/definitionId/%2Fproviders%2FMicrosoft.Authorization%2FpolicyDefinitions%2F871b6d14-10aa-478d-b590-94f262ecfa99

我结合并更新了我的要求，您可以检查创建的自定义策略，我认为一切正常。

我被要求自动添加或删除 AWS 安全组中的规则。在执行操作之前，我需要验证请求的规则（作为参数）是否存在于安全组中，只有当规则存在时，我们才需要添加或删除规则。

我正在尝试在下面使用它将列出安全组的所有入口规则并将其删除：

但是我只需要验证规则是否存在，如果存在我不必执行任何活动，如果它不存在，那么我需要将规则添加到现有的安全组中。

我正在尝试删除与我使用 PowerShell 创建的特定 VM 关联的每个资源。我还设法编写了一个删除 VM、磁盘、NIC 和公共 IP 的脚本，但我无法用它识别自动创建的 NetworkSecurityGroup（仅启用 RDP）。从我看到的 NSG 连接到 NetworkInterface（至少它说“关联：0 个子网，portal.azure.com 中的 1 个网络接口）所以它的“vNet”-> VM-->“NIC” --> “NSG”

我设法通过 NetworkInterfaces 循环：

所以我尝试了类似的东西：

...在我能想到的每个版本中。甚至没有给我一个错误。它只是空的。

你们知道我在这里看什么吗？我会很高兴我能得到任何小费！

非常感谢您的参与！

IP 地址（在源列下）在 AWS 安全组的入站和出站规则中代表/或意味着什么？

我有一个简单的基于 Java servlet 的应用程序在 EC2 中的 tomcat 服务器的端口 8080 上运行。当我单击一个按钮时，它会返回数据库中的所有用户记录并将它们呈现到屏幕上。

当我使用 Tomcat 在本地主机上部署该应用程序时，该应用程序运行良好，并且它可以很好地连接从中检索用户记录的 RDS。

但是，当我将 WAR 文件部署到 EC2 实例上的 Tomcat 并通过 http://51 访问它时。. .***:8080/MyApp-0.0.1-SNAPSHOT，当我单击同一个按钮时，它不允许我连接到我的 RDS 并返回相同的对象。

EC2 和 RDS 实例共享相同的可用区、VPC（默认）和安全组。 我什至将 EC2 的私有 IP 地址添加到为 RDS 和 EC2 指定入站规则的安全组（入站：Postgres 5432 139... ***）。

我通过 AWS EC2 Instance Connect 连接到我的 EC2（不是通过我的本地主机上的 bash，因为 RDS 是一项托管服务）。我已经在 ec2 上安装了 maven、jdk8、tomcat 和 git ......我还需要安装 postgres 吗？

将war文件复制到var/lib/tomcat/webapps我运行应用程序后sudo service tomcat start，可以在我上面提到的地址的8080端口访问它。( http://51.***.***.***:8080/MyApp-0.0.1-SNAPSHOT)。

以下是 EC2 和 RDS 实例共享的安全组入站规则：

在允许 EC2 和 RDS 相互通信方面我做错了什么？

关于下面列出的调用，我有一个 Azure 对象，我正在尝试获取网络观察程序。我不确定 Azure SDK 的行为，如果我没有网络观察程序，此调用会返回空列表还是 null。我相信它应该返回一个空列表，但在某些情况下，我看到它返回 null。在文档中找不到任何相同的内容，此处需要进行一些说明。

我正在尝试在一个脚本和虚拟网络中创建具有多个安全规则的网络安全组，以及在一个脚本中创建五个子网。

为此，我参考了 azurerm_virtual_network和azurerm_subnet_network_security_group_association文档。

上述文档包含带有硬编码值的代码。但我想使用循环概念在虚拟网络内创建子网，在网络安全组内创建安全规则，然后将每个子网与网络安全组相关联。

在此先感谢您的帮助 ！

我需要将我的应用程序托管给有限的受信任受众。我正在使用应用程序网关标准 v2 作为负载均衡器。我想为那些连接到我的 vpn 的人提供对应用程序网关的访问。我创建了网络安全组，并配置了入站规则来限制端口 80 的公共访问。此外，我正在尝试为我的特定用户打开端口 80。但我无法根据 vpn 用户将源 IP 地址范围配置为动态。

以下是我尝试过的事情

1. 我尝试通过添加 vpn 地址池作为 NSG 入站规则源地址
2. 我尝试将源标签配置为虚拟网络
3. 我尝试在我的 NSG（应用网关子网）中配置我的 VPN 地址池范围

但没有运气。如果我对特定的公共 IP 地址进行硬编码，它就可以工作。我无法为我的 vpn 用户配置它。

有人好心给我建议吗？

我知道我可以使用以下 cli 将网络安全组关联到子网

az network vnet subnet update -g MyResourceGroup -n MySubnet --vnet-name MyVNet --network-security-group MyNsg

但是，如果子网和 NSG 位于不同的资源组中，则此 cli 不起作用。在 Azure 门户中，我可以做到。有什么办法可以用cli做到吗？