Azure NSG работает не так, как ожидалось

Question

У меня есть внешний балансировщик нагрузки Azure с внутренним пулом, который содержит 1 главный сервер kubernetes и имеет правило балансировки нагрузки на порту 443.

Я добавил правило с приоритетом 500, чтобы запретить весь трафик, поступающий из Интернета через порт 443 на главный сервер kubernetes. Работает нормально

Я добавил правило с приоритетом 400 для приема трафика, поступающего с определенного публичного ip, потому что я хочу иметь возможность подключаться только с этого ip. Я ожидал, что смогу подключиться, но не могу.

Если я изменю правило, принимающее трафик с исходного IP-адреса в Интернет, то оно будет работать нормально. Чего мне не хватает?

С уважением

Answer 1

"Я добавил правило с приоритетом 400 для приема трафика, поступающего от определенный публичный IP, потому что я только хочу иметь возможность подключиться с этого ф. Я ожидал, что смогу подключиться, но не могу.

Если я изменю правило, принимающее трафик с исходного ip на интернет то нормально работает. Чего мне не хватает? "

Вещи, которые вы могли пропустить:

1. Убедитесь, что вы не указали порт источника !! Это было бы взяты из пула доступных портов, называемых эфемерными портами от клиента, с которым вы инициируете соединение.
2. Вы блокируете Allow Azure Load Balancer IP, который является правилом по умолчанию. Пробники работоспособности балансировщика нагрузки исходят от IP-адреса 168.63.129.16 и не должны блокироваться, чтобы пробники могли разметить ваш экземпляр. Для получения подробной информации просмотрите IP-адрес источника зонда.

Создайте отдельное правило, разрешающее использование этого IP-адреса, поскольку это IP-адрес MSFT, у вас не должно быть проблем, позволяющих это сделать. ** Прежде чем запретить все (приоритет <500) </p>

Это наверняка решит твою проблему !!

Диагностика и RCA :
Почему это происходит, IP-адрес зонда балансировщика нагрузки Azure блокируется, и, следовательно, сервер балансировки нагрузки помечает балансировщик нагрузки как нездоровый.