Networking

NSG:阻止所有出站網際網路流量

  • March 6, 2018

我理解文章“逐步:通過 Azure 資源管理器 (ARM) 和 PowerShell 自動建構出站網路安全組規則”中的方法:允許 Azure 使用的所有內部使用的 IP 子網,然後阻止出站 Internet 流量。

但我認為這個子網列表不是靜態的,今天西歐有 437 個子網,接近每個 NSG 500 個 NSG 規則的最大值。

儲存或 Linux 儲存庫等資源使用其中一些子網。它們不使用靜態 IP 訪問,負載均衡器決定使用的服務及其 IP 地址。這就是打開所有 Azure 子網的原因。

我需要阻止到“真正的 Internet 伺服器”的所有流量,並且還需要訪問所需的內部服務。

問題:

  1. 當添加了新子網並且負載均衡器決定

將這個新子網中的服務分配給我的請求時,我將無法訪問它?這可能會導致我的應用程序的服務降級。那是對的嗎? 2. 新發布的“服務端點”是否可以解決這個問題? 3. 除了“VirtualNetwork”、“AzureLoadBalancer”和“Internet”之外,是否計劃引入另一個可在 NSG 規則中使用的預設標記來處理“外部 Internet”或“Azure 內部”?

提前致謝!

提到的連結:

https://blogs.technet.microsoft.com/keithmayer/2016/01/12/step-by-step-automate-building-outbound-network-security-groups-rules-via-azure-resource-manager-arm-and-powershell/

https://azure.microsoft.com/de-de/blog/announcing-virtual-network-integration-for-azure-storage-and-azure-sql/?cdn=disable

正如您所提到的,阻止“網際網路”標籤的所有流量的問題在於它還阻止了對 Azure PaaS 服務的訪問。以前處理此問題的唯一方法是允許訪問 Azure IP 範圍,但正如您所指出的,其中有很多,而且它們會定期更改,這很痛苦。如果您想要訪問的服務獲得的 IP 不在您的 NSG 被程式為允許出站的範圍內,那麼是的,您將無法訪問它。

MS 已經開始通過使用服務標籤來解決這個問題。這些是類似於“Internet”的標籤,您可以在 NSG 規則上配置,而不必指定整個地址範圍。這裡有一些問題,首先該服務處於預覽狀態,其次它目前僅包含儲存和 Azure SQL。

如果您只需要 SQL 和儲存,那麼您可以繼續使用這些服務標籤來阻止對“網際網路”的訪問,並允許“儲存”和“SQL”

引用自:https://serverfault.com/questions/888645