Защита Linux SFTP в ACI.IPTables?Vnet? - PullRequest
Новая
       51

Защита Linux SFTP в ACI.IPTables?Vnet?

0 голосов
/ 29 апреля 2019

Я настроил простой SFTP с использованием ACI, следуя этому замечательному учебнику: https://azure.microsoft.com/en-ca/resources/samples/sftp-creation-template/

Проблема в том, что у этой вещи есть общедоступный IP-адрес, и нет подобия брандмауэра для его защиты. Я хотел бы сделать эту вещь более безопасной. Я довольно хорош с виртуальными сетями Azure, но пока не имею большого опыта работы с Linux или ACI. так, как я это вижу, я могу сделать одну из двух вещей

1) разверните этот ACI в моей vnet и управляйте доступом через NSG или подобное Не уверен, что это будет работать с ACI? Есть ли ограничения к этому?

2) использовать IPtables в сборке linux? сборка sftp основана на atmoz / sftp, но настроена как шаблон развертывания ARM. Мне действительно нужно ограничить доступ к этому SFTP только одним IP-адресом, поэтому я могу создать два правила, но если я пойду по этому пути, я бы хотел настроить его в самом шаблоне ARM.

так что мои вопросы действительно а) какова лучшая практика здесь? Логично, что сеть vnet более безопасна б) для моего собственного назидания, куда бы я пошел, чтобы узнать, как настроить что-то вроде IPTables в шаблоне ARM? это то, что можно настроить в шаблоне развертывания?

спасибо всем,

1 Ответ

0 голосов
/ 30 апреля 2019

Насколько я знаю, оба варианта должны работать с ACI. Но я бы предпочел выбрать NSG, поскольку управлять им на портале Azure проще, чем обращаться к экземпляру. Кроме того, он будет контролировать доступ к сети в подсети, это мало влияет на настройки вашего экземпляра. IPTables работает внутри экземпляра, если ваш образ поддерживает IPTables.

Существуют некоторые ограничения при развертывании ACI с VNet. Такие как

  • Чтобы развернуть группы контейнеров в подсети, подсеть не может содержать другие типы ресурсов.
  • Эта функция доступна в режиме предварительного просмотра и доступна в некоторых регионах.
  • Группы контейнеров, развернутые в виртуальной сети, в настоящее время не поддерживают выставление контейнеров непосредственно в Интернет с публичным IP-адресом или полным доменным именем. Поэтому вам может потребоваться добавить службу, такую ​​как шлюз приложений Azure обратный прокси-сервер, чтобы направлять общедоступный трафик на ваш серверный экземпляр.
  • Правила исходящей безопасности в NSG, применяемые к подсети, делегированной экземплярам контейнера Azure, в настоящее время не применяются

Подробнее см. В следующих статьях: Развертывание экземпляров контейнера в виртуальной сети Azure .

...