Segurança para VNETS peering com balanceador de carga interno

Question

Segurança para VNETS peering com balanceador de carga interno

#1 resposta do (0 votos)

1

Eu tenho dois VNETS (VNET1 e VNET2). O VNET1 permite muitas conexões site2site e point to site. O VNET2 contém um balanceador de carga interno e um conjunto de VMs para o pool de back-end desse balanceador de carga. Eu configurei com sucesso o VNET peering entre VNET1 e VNET2, que permite que os clientes locais no VNET1 acessem o balanceador de carga interno no VNET2, mas também permite que eles acessem as VMs no VNET2 que eu quero evitar.

Estou tentando limitar os clientes locais conectados ao VNET1, para que eles possam ver apenas o balanceador de carga interno no VNET2 (não as VMs no pool de back-end). Eu tentei configurar um NSG na sub-rede onde as VMs residem, criando regras a seguir (observe que o balanceador de carga está em uma sub-rede diferente dentro do VNET2 sem nenhum NSG aplicado a ele).

Regra1: Permitir sub-rede LoadBalancer de IP para VM (pool de VM de back-end).
Regra2: Negue todos os outros tráfegos VnetInBound (isso substitui padrão AllowVnetInBound).

As regras acima impedem que o VNET1 veja qualquer coisa no VNET2, mas também impede o envio para o balanceador de carga por algum motivo. Alguém tem alguma ideia de como essa configuração poderia ser implementada?

azure azure-networking

por Stephen Schleicher 15.06.2018 / 02:14

1 resposta

Tags azure azure-networking

Regra de endereço de correspondência em sshd_config, diferença entre localhost, 127.0.0.1 e [:: 1] O Backup do Hyper-V (CheckPoint) ainda está ocorrendo, embora esteja desabilitado no Integration Services

score 0 · Accepted Answer

I have successfully setup VNET peering between VNET1 and VNET2 which allows on-premise clients in VNET1 to access the internal load balancer in VNET2 but it also allows them to access the VMs in VNET2 which I want to avoid.

Quando você acessa o LB interno reside no Vnet2 do Vnet1, o LB não altera o endereço IP de origem no pacote de dados, ele apenas altera o endereço IP de destino (endereço IP do LB) para o endereço IP específico das VMs que residem no pool de back-end. Essa é a função do LB interno, portanto, não devemos negar o acesso a VMs no Vnet2 de clientes no Vnet1.

The above rules prevents VNET1 from seeing anything in VNET2 but also prevents sending to the load balancer for some reason. Anyone have any ideas on how this configuration could be implemented?

Esse é o comportamento esperado, como expliquei acima, precisamos adicionar outra regra de entrada nesse NSG para permitir o endereço IP de origem dos clientes no Vnet1 ou permitir a origem de qualquer um. Quanto à porta, você pode adicionar algumas portas específicas nessa regra.