Azure NSG работает не так, как ожидалось
У меня есть внешний балансировщик нагрузки Azure с внутренним пулом, который содержит 1 главный сервер kubernetes и имеет правило балансировки нагрузки на порту 443.
Я добавил правило с приоритетом 500, чтобы запретить весь трафик, поступающий из Интернета через порт 443 на главный сервер kubernetes. Работает отлично
Я добавил правило с приоритетом 400, чтобы принимать трафик, приходящий с определенного публичного IP-адреса, потому что я хочу иметь возможность подключаться только с этого IP-адреса. Я ожидал, что смогу подключиться, но не могу.
Если я изменю правило, которое принимает трафик с исходного IP-адреса в Интернет, то оно работает нормально. Что мне не хватает?
С уважением
1 ответ
"Я добавил правило с приоритетом 400, чтобы принимать трафик, приходящий с определенного публичного IP-адреса, потому что я хочу иметь возможность подключаться только с этого IP-адреса. Я ожидал, что смогу подключиться, но не могу.
Если я изменю правило, которое принимает трафик с исходного IP-адреса в Интернет, то оно работает нормально. Что мне не хватает?
Вещи, которые вы могли пропустить:
- Убедитесь, что вы не указываете порт источника!! Он будет взят из пула доступных портов, называемых эфемерными портами от клиента, с которым вы инициируете соединение.
- Вы блокируете Allow Azure Load Balancer IP, который является правилом по умолчанию. Пробники работоспособности балансировщика нагрузки исходят от IP-адреса 168.63.129.16 и не должны блокироваться, чтобы пробники отмечали ваш экземпляр. Для получения подробной информации просмотрите IP-адрес источника зонда.
Создайте отдельное правило, чтобы разрешить этот IP, так как это MSFT IP, у вас не должно быть проблем, разрешающих это.** Прежде чем запретить все (Приоритет <500)
Это должно исправить вашу проблему наверняка!
Диагностика и RCA:
Почему это происходит, IP-адрес зонда балансировщика нагрузки Azure блокируется, и, следовательно, внутренний сервер помечает балансировщик нагрузки как вредный для здоровья.