【发布时间】:2021-08-30 04:59:49
【问题描述】:
我目前正在尝试学习 azure cloud,之前我曾与 AWS 合作过,因此可能会尝试在这里继承一些概念。
我需要知道如何配置逻辑防火墙以允许从 Azure 负载平衡器到 VM(规模集或后端池)的流量?
通过将虚拟机分配给不同的应用程序安全组并允许来自网络安全组中这些组的相应流量,我能够在不同的虚拟机之间执行此操作。我发现服务标签“AzureLoadBalancer”是 NSG 规则中的一个选项,但它似乎只允许来自 healthprobes 的流量,而不是来自实际负载均衡器的流量(也没有选择某个负载均衡器的选项)。最后,我必须允许从负载均衡器的公共 ip 到 VNET 的流量才能使负载均衡器工作。
我希望有一种合乎逻辑的方式来做到这一点,如果我不确定我在这里缺少什么,将不胜感激任何可以在这里提供帮助的人。
【问题讨论】:
-
我不是网络专家,但防火墙不就是这样工作的吗?您使用 IP 地址定义路由规则。在 AWS 中没有什么不同?
-
是的,防火墙就是这样工作的。尽管在 aws 中,如果 2 个不同的安全组上有 2 个实例,同时允许从一个实例到另一个实例的流量,我们可以允许来自安全组本身的流量,而不是放置实例的 ip。这对于扩展非常有益,因为可以直接将新实例(尤其是在自动扩展组中)添加到允许的安全组中,而不是每次都添加新的 ip。