Azure NSG не работает должным образом

У меня есть внешний балансировщик нагрузки Azure с внутренним пулом, который содержит 1 главный сервер Kubernetes и имеет правило балансировки нагрузки на порту 443.

Я добавил правило с приоритетом 500, чтобы запретить весь трафик, идущий из Интернета на порт 443 на главный сервер kubernetes. Работает отлично

Я добавил правило с приоритетом 400 для приема трафика, поступающего с определенного общедоступного IP-адреса, потому что я хочу иметь возможность подключаться только с этого IP-адреса. Я ожидал, что смогу подключиться, но не могу.

Если я изменю правило, которое принимает трафик с исходного IP-адреса в Интернет, оно работает нормально. Что мне не хватает?

С уважением


azure azure-container-service network-security-groups
person Dresse    schedule 15.05.2018    source источник
comment
Вы добавили входящий IP-адрес в качестве IP-адреса или IP-адреса балансировщика нагрузки? Я считаю, что вам нужно установить его на IP-адрес LoadBalancers и порт, через который вы подключаетесь.   -  person Micah_MSFT    schedule 15.05.2018
comment
Установлены ли у вас какие-либо внутренние правила брандмауэра, которые могут блокировать трафик?   -  person Marilee Turscak - MSFT    schedule 18.05.2018

Ответы (1)


arrow_upward
0
arrow_downward

«Я добавил правило с приоритетом 400 для приема трафика, поступающего с определенного общедоступного IP-адреса, потому что я хочу иметь возможность подключаться только с этого IP-адреса. Я ожидал, что у меня будет возможность подключиться, но я не могу.

Если я изменю правило, которое принимает трафик с исходного IP-адреса в Интернет, оно работает нормально. Что мне не хватает? "

Вещи, которые вы могли пропустить:

  1. Убедитесь, что вы не указываете исходный порт !! Он будет взят из пула доступных портов, называемых эфемерными портами, от клиента, с которого вы инициируете соединение.
  2. Вы блокируете разрешить IP-адрес балансировщика нагрузки Azure, который является правилом по умолчанию. Зонды работоспособности Load Balancer исходят с IP-адреса 168.63.129.16 и не должны блокироваться, чтобы зонды пометили ваш экземпляр. Просмотрите IP-адрес источника зонда для получения подробной информации.

Создайте отдельное правило, чтобы разрешить этот IP-адрес, поскольку это IP-адрес MSFT, у вас не должно возникнуть проблем с его разрешением. ** Перед тем, как отклонить все (Priority ‹500)

Это наверняка должно решить вашу проблему !!

Диагностика и RCA:
Почему это происходит, IP-адрес зонда балансировщика нагрузки Azure блокируется, и, следовательно, внутренний сервер помечается балансировщиком нагрузки как неисправный.

person Capt. Cherry ex- MSFT    schedule 15.11.2018