Azure外部負載平衡器 - 源IP安全

Question

我有兩個虛擬機通過外部負載平衡器進行負載平衡。我能夠通過該LB規則成功連接到互聯網上的這些虛擬機。

但是，我想限制對該負載平衡器的公共IP地址（或更準確地說 - 對於它後面的VM）的訪問，以訪問特定的源網絡。因此，而不是整個互聯網能夠訪問它，只有特定的公共子網才能使用它。

查看虛擬機上的TCP連接表 - 它看起來像Azure LB正在使源IP通過它。因此，VM客戶端上的我的NSG無法過濾「SourceIP = Desired Source」。

有沒有辦法在Azure的資源管理器版本中執行此操作？

Answer 1

源端口和地址範圍來自原始計算機，而不是負載平衡器。

從https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/#design-considerations（看下面「負載均衡」）

類似於面向公衆的負載均衡，當您創建NSGs到 過濾流量通過內部負載均衡（ILB），你 需要了解未來應用的源端口和地址範圍是 來自發起呼叫的計算機的數據，而不是負載 平衡器。目標端口和地址範圍與計算機接收流量的 有關，而不是負載平衡器。

我是猜測它使用x-forwarded-for，NSG明白這一點。連接表不。它們是原始連接，因此可以顯示NAT。