Мы разрабатываем приложение с Service Fabric на основе этого шаблона ARM https://github.com/Azure/azure-quickstart-templates/tree/master/service-fabric-secure-nsg-cluster-65-node-3-nodetype.
У нас есть два типа узлов: внешний интерфейс и внутренний.Идея состоит в том, чтобы открыть внешний интерфейс для Интернета, а внутренний тип узла должен быть доступен только через внешний тип узла.Это то, что мы строим, за исключением того, что у нас есть два типа узлов: https://github.com/Azure/azure-quickstart-templates/blob/master/service-fabric-secure-nsg-cluster-65-node-3-nodetype/NSG1.PNG
У нас есть 1 виртуальная сеть обслуживания, две подсети (внешний и внутренний), два балансировщика нагрузки (которые доступны из сети) и два сетевыхгруппы безопасности.
Мы хотим получить доступ к сервису сервисной фабрики в бэкэнде типа узла с портом X. Мы получаем доступ к бэкэнд-балансировщику нагрузки из экземпляра веб-интерфейса.Правило входящей безопасности (backend) блокирует трафик (prio 4095, «blockall»).
Если мы создадим правило, разрешающее порт x (исходный и целевой), оно будет работать.Но мы хотим ограничить доступ извне.Мы настраиваем группу безопасности сети с исходным балансировщиком нагрузки и любым назначением, но мы все еще не можем подключиться с внешнего типа узла. У кого-нибудь еще есть эта проблема?