Azure外部ロードバランサー - ソースIPセキュリティ

Question

外部の負荷分散装置によって2つのVMが負荷分散されています。私は正常にそのLBルールを介してインターネットからそれらのVMに接続することができます。

しかし、そのロードバランサのパブリックIPアドレス（またはより正確には、VMの背後にある）へのアクセスを特定の送信元ネットワークに制限する必要があります。そのため、インターネット全体がアクセスできるのではなく、特定の公開サブネットだけがそれを使用できるようになりました。

VMのTCP接続テーブルを見ると、Azure LBが送信元IPにネッティングしているようです。したがって、VMゲストのNSGは「SourceIP = Desired Source」でフィルタリングできません。

これをResource ManagerバージョンのAzureで実行する方法はありますか？

Answer 1

送信元ポートとアドレスの範囲は、ロードバランサではなく元のコンピュータからのものです。 https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/#design-considerationsから

（「ロード・バランサ」の下に見える）公共対向ロードバランサと同様に

、あなたは内部ロードバランサ（ILB）を介してくる フィルタトラフィックにNSGsを作成するときに、あなたが理解する必要があり 適用される送信元ポートおよびアドレス範囲は、 ロードではなく、コールを発信したコンピュータからのものであることがわかります。 バランサ。宛先ポートとアドレス範囲は、ロードバランサではなく、コンピュータがトラフィックを受信する に関連しています。

私はそれがX-転送-用を使用してNSGsはそれを理解していることだを推測です。接続テーブルは接続しません。それらは未加工の接続であり、そのようにNATを示します。