Блог

Главная - Вопросы по программированию - Средства балансировки нагрузки Azure и правила NSG для пропускания трафика

Средства балансировки нагрузки Azure и правила NSG для пропускания трафика

#azure-load-balancer #azure-nsg

#azure-балансировщик нагрузки #azure-nsg

Вопрос:

То, что я пытаюсь сделать, подробно описано ниже на схеме

введите описание изображения здесь

Клиент может подключаться к VM1 и VM2 только через стандартный балансировщик нагрузки Azure на порту X, а не напрямую к IP-адресам виртуальных машин

В LB есть правило для передачи трафика по порту X в серверный пул, который состоит из VM1 и VM2

Для липких сеансов устанавливается IP-адрес клиента

Для этого правила нет проверки работоспособности

Брандмауэры Windows на виртуальных машинах отключены

До сих пор пытались настроить правила NSG

Сценарий 1

 netcat exposing port X on VM1 and VM2
NSG rule allowing traffic from Client IP to Load Balancer IP
DENY all inbound

From Client
telnet 10.100.23.4 X - Connection Failed
telnet 10.100.23.5 X - Connection Failed
telnet 10.100.23.6 X - Connection Failed

Сценарий 2

 netcat exposing port X on VM1 and VM2
NSG rule allowing traffic from Client IP to Load Balancer IP on port X
NSG rule allowing traffic from Internal LB IP to entire subnet on all ports
DENY all inbound

From Client
telnet 10.100.23.4 X - Connection Failed
telnet 10.100.23.5 X - Connection Failed
telnet 10.100.23.6 X - Connection Failed

Сценарий 3

 netcat exposing port X on VM1 and VM2
NSG rule allowing traffic from Client IP to Load Balancer IP on port X
NSG rule allowing traffic from Internal LB IP to entire subnet on all ports
NSG rule allowing traffic from Client IP to VM1 and VM2 IP
DENY all inbound

From Client
telnet 10.100.23.4 X - Connection Succeeded
telnet 10.100.23.5 X - Connection Succeeded
telnet 10.100.23.6 X - Connection Succeeded

Кто-нибудь знает о комбинации правил NSG, которые я могу использовать, чтобы запретить прямой доступ к VM1 и VM2 от клиента, позволяя при этом трафику проходить через LB к виртуальным машинам?

Я чувствую, что здесь мне не хватает хитрости, поскольку это кажется довольно стандартной вещью для обеспечения безопасности.

Ответ №1:

Я предполагаю, что речь идет о внутреннем балансировщике нагрузки. Поскольку они определены для балансировки нагрузки внутри виртуальной сети, нам нужно напомнить, что маршрутизация внутри виртуальной сети разрешена по умолчанию.

Явное запрещение трафика с IP-адреса клиента на Vm1 и VM2 — это единственное правило, которое должно потребоваться для вышеупомянутого сценария, можете ли вы проверить?

С уважением. Адитья

Комментарии:

1. Привет, Адитья. Извините, я не понимаю. Трафик не будет проходить через балансировщик нагрузки на виртуальную машину, пока я специально не добавлю правило, позволяющее трафику попадать на виртуальную машину. После allows уже есть правило ЗАПРЕТИТЬ все входящие. Не могли бы вы выписать предлагаемый список правил?