問題タブ [network-security-groups]

リソース管理展開モード (アーム モード) を使用してエンドポイントを作成しようとしています (それがまだ呼び出されている場合)。私は現在、Resource Management デプロイ モードを使用して Azure で仮想マシンを作成しています。これは、すべての記事で推奨される方法として実際に推奨されているためです。Linux VM のクラウド プラットフォームとして Azure を実際に使用することを期待して、Azure で Ubuntu Linux VM を作成しました。新しい azure ポータルは常に進化していますが (ドキュメントは確実に改善される可能性があります)、私は新しい azure ポータルを使用してネットワーク セキュリティ グループ (NSG) リソースを介してエンドポイントを作成することができました。ただし、Azure CLI を使用してエンドポイントを作成することはまだできません (それがもはや呼び出されている場合)。メッセージ。私'azure loginazure config mode armリソース管理デプロイ モードを使用して VM を作成したため、コマンドを実行し、コマンドも実行します。コマンドを入力すると、azure vm --helpに関する情報が表示vm create endpointされないため、このコマンドはリソース管理モードではサポートされていないと思います。

Resource Management デプロイ モードを使用して Ubuntu Linux VM を作成した場合、Azure CLI を使用して、エンドポイント (具体的には受信セキュリティ規則) を作成するにはどうすればよいですか?

VM の基本的な Azure 負荷分散クラスターをセットアップしようとしていますが、Azure が作成する仮想ネットワークの外部にアクセスする際に問題があります。私がテストしているサンプルリクエスト:

curl http://<publicIP of load balancer>:8080/rio/health

「接続に失敗しました。接続が拒否されました」を返します

特に、プライベート IP アドレスを使用して、ボックス 0 からボックス 1 に呼び出すことができます。パブリック IP アドレスを使用してボックス 0 から 1 に呼び出すことができます。パブリック IP を使用して、外部ソースからボックス 1 またはロード バランサーを呼び出すことができません。

私が尋ねているのは、外部から Azure の仮想ネットワークにアクセスすることを妨げている可能性があるものは他にあるでしょうか? ソース ポート * から宛先ポート * への任意のプロトコルを許可するために、Azure portal から受信と送信の両方のセキュリティ ルールを作成しました。また、ポート 8080 からバックエンド ポート 8080 に転送する負荷分散規則を作成しました。外部からパブリック IP にアクセスできるようにするために不足しているものはありますか?

ありがとう！

単純なものが欠けているのか、それとも不可能なことをしようとしているのかわからない.

Web+Mobile App Services モデルを使用して、Tomcat サイトを Azure にデプロイしています。これは VM ではありません。この App Service にファイアウォール ルール (ネットワーク セキュリティ グループ) を適用できるようにしたいと考えています。

リソースグループ内で行ったことは次のとおりです。

1. 既存の App Service (Tomcat) を S1 マシン サイズにアップグレードしました。
2. デフォルト設定で VNET を作成しました。これには、「default」という名前のサブネットの作成が含まれていました。すべてのアドレス空間の提案は、Azure の既定のプロンプトに残されました。
3. App Service の [ネットワーク設定] ブレードを使用して、作成したばかりの VNET を選択しました。
4. ネットワーク セキュリティ グループを作成 - あらゆるソースからの HTTP ポート 80 を拒否する受信ルールを追加しました。
5. 上記で作成した関連付けられた NSG と既定のサブネット
6. すべてが伝播するのを待っていた
7. HTTP ポート 80 で App Service にヒットすることをテストし、結果が返されました。

これは私が見たいと思っていたものではありませんでした。これをデバッグするために、私はテストしました：

1. Tomcat 仮想マシンの作成
2. VM ネットワーク ブレードで、VM を "既定の" サブネットに関連付け、具体的にはネットワーク セキュリティ グループを VM から削除しました (サブネット上に残します - VM に明示的に接続されていないことを確認するだけです)。
3. VM への HTTP アクセスのテスト - トラフィックは拒否されました
4. App Service へのテスト済みの HTTP アクセス - トラフィックは引き続き許可されます
5. 許可するようにネットワーク セキュリティ グループ ルールを変更しました
6. VM へのテスト済みの HTTP アクセスと許可されたトラフィック

仮想マシンと同じように、App Service でネットワーク セキュリティ グループを使用するにはどうすればよいですか? App Service でサブネットを構成する方法がどこかにありませんか? NSG を App Service に関連付ける別の方法はありますか?

予算がない/ASE を構築する必要がない。必要なのは、App Service の前にファイアウォールを配置して、使用されたくないポートをブロックすることだけです。

ありがとう。

このAzure NSG ARMテンプレート に似た ARM テンプレートを使用して、ネットワーク セキュリティ グループ (NSG) をプロビジョニングしました。また、ARM を使用してストレージ アカウントをプロビジョニングし、NSG ログを格納しました。

Azure portal の NSG リソースの [監視] セクションで診断を有効にし、ストレージ アカウントを指定することができました。

ポータルは、Automation スクリプト セクションでストレージ アカウントと NSG の間のリンクを公開しません。

NSG ドキュメントも答えを提供していません。

ARM テンプレートを使用してネットワーク セキュリティ グループで診断を有効にするにはどうすればよいですか?

必要なリソースはすべて揃っています。Web サービスをアプリ サービス環境内に配置し、アプリ サービス環境が使用するサブネットに NSG をアタッチしました。次に、VNET 内のアプリが Web サービスと通信できるようにしましたが、正しく動作しません。正確にどのようなセキュリティ ルールが必要ですか?

ARM モードのネットワーク セキュリティ グループの既存のルールを読み取ろうとしていますが、奇妙なことに、SourceAddressPrefix プロパティ (ホワイトリストに登録された IP 範囲に関する情報を含むプロパティ) がブール値 (「True」または「False」など) として報告されます。 ) 文字列形式。

プロパティを使用してグループを取得しGet-AzureRmNetworkSecurityGroup、読み取りを試みました。いずれの場合も、返されるルールは「True」または「False」です。::SecurityRules$nsg | Get-AzureRmNetworkSecurityRuleConfig$nsg | Get-AzureRmNetworkSecurityRuleConfig -Name MyRuleSourceAddressPrefix

その値がなければ、チェックしている IP に対して既にルールが適用されているかどうかを判断できません。システムでは、名前と優先度が異なる限り、同じ詳細で複数のルールを設定できるため、現在複製を作成しています。

これはある種のセキュリティ「機能」だと思いますか？ポータルに表示される実際の IP CIDR 範囲を取得する方法はありますか?

編集-これが行き来するため、完全なコードを投稿しています

このコードは、 内のすべての NIC に割り当てられた IP アドレスを取得し、$proxyResGrpポート 80 および 443 の元のリソース グループでそれらをホワイトリストに登録しようとします。

Windows 2016 ボックスで docker-machine を使い始めています。Azure でいくつかの VM を作成しようとしていますが、使用したい特定のネットワーク セキュリティ グループがあり、Azure に既に存在しています。docker-machine create --driver azureリソース グループ、サブネットなどの設定方法を説明する小さなヘルプ テキストを実行して確認しましたが、ネットワーク セキュリティ グループのオプションが表示されません。Azure で VM を作成するときに docker-machine が使用する既存のネットワーク セキュリティ グループを指定する方法はありますか?

クラウド内の顧客サーバーの 1 つについてネットワークに関する質問があります。

NSG ファイアウォールを介してセットアップされたいくつかのエンドポイントを持つ標準の 2012R2 VM のみを使用しており、ネットワークの前に LoadBalancer があり、いくつかのポートが同じ VPC に転送されています。

ポート フォワーディングでロード バランサーを使用している理由は、侵入を試みて 3389 と 21 を攻撃しようとするボットの無数の記録を見つけたからです。

そのため、NSG ルールのソース設定を AzureLoadBalancer に変更しようとしましたが、外部ポートの LoadBalancer を経由したトラフィックへのアクセスのみを許可することを期待しています。

しかし、何らかの理由でこれは当てはまりませんか？LoadBalancer から NSG 経由で VM へのトラフィックを制限するための適切な手順はありますか?

これに関するヘルプは大歓迎です。

ありがとう