是否可以為 Azure 應用程序網關的不同後端池設置安全規則？

我在 AKS 群集前面有一個 Azure 應用程序網關。集群有一些通過內部負載均衡器發布的內部 IP 地址，因此具有來自集群所在子網的 IP 地址。

我已經在網關的子網上定義了一個網路安全組，並且能夠使用萬用字元拒絕/允許所有到內部 IP 地址的流量。

但是，我想更精細地控制流量，我想允許一個外部 ip 訪問網關的某個後端池，並允許另一個外部 ip 訪問另一個後端池。我嘗試在目標中使用內部負載均衡器 ip，但這似乎不起作用。事實上，我不知道傳入流量的目標 ip 是什麼，因為當我將網關的 ip 作為目標時，我什至無法阻止傳入流量，只有當我使用 * 時，我才能阻止所有傳入流量。

我可以通過使用多個網關來解決它，但這很快就會變得昂貴。

不，您不能使用 NSG 做到這一點（除非您使用多個網關）。您可能可以使用某些防火牆設備來做到這一點。

引用自：https://serverfault.com/questions/935971