在我的azure虚拟机上,有没有办法允许列出来自域名而不是IP地址的入站?
我希望我的动态公网IP允许来自ddns名称的入站流量,以避免在我的公网IP发生变化时一直更改安全规则。有没有办法在网络规则中插入域名(而不是IP地址)?现在我无法找到任何解决方案来做到这一点。非常感谢
回答 2
Stack Overflow用户
发布于 2021-12-02 11:43:50
如果您的意思是网络安全组是否可以做到这一点-不,它不可能。NSG没有这样的功能。
但是,如果您正在寻找解决方案,您可以使用Azure function/Automation Runbook将其自动化
让函数/Runbook执行NSLOOKUP,然后让函数使用从该结果获得的IP更新NSG。请注意,我使用的是更新而不是添加。:)
编辑:继续使用Runbook,因为对于(想要)理解的东西来说,这是一个更小的步骤:https://azure.microsoft.com/nl-nl/blog/azure-automation-runbook-management/
创建自动化帐户时,请使用系统标识创建该帐户。在创建之后,它将为您提供两个默认的runbooks,其中已经包含了一些代码。示例代码为您提供了从runbook对Azure进行身份验证的方法。因此,您可以将第一部分留在Runbook中。
然后在下面添加您需要的任何代码,例如:
#Example from here: https://tom-henderson.github.io/2016/09/14/azure-runbooks
$uri = '<DNS_ADDRESS_HERE>'
$ipaddress = [system.net.dns]::GetHostByName($uri).AddressList.IPAddressToString
#Now you need to grab the NSG which is providing whitelisting for your Azure Virtual Machine: https://docs.microsoft.com/en-us/powershell/module/az.network/get-aznetworksecuritygroup?view=azps-6.6.0
$nsg = get-aznetworksecuritygroup -ResourceGroupName '<RG_NAME_HERE>' -Name '<NSG_NAME_HERE>'
#Then update one of the rules: https://docs.microsoft.com/en-us/powershell/module/az.network/set-aznetworksecurityruleconfig?view=azps-6.6.0
#I think with those two example pages you should get what you are looking for.让runbook按您需要的方式运行后,您可以在其上设置一个计划,以便随时运行或以您希望的频率运行。
现在,您还应该提供您的Runbook有权更新NSG的身份。因为否则它只会告诉您它没有足够的权限。就我个人而言,我更喜欢创建自定义角色,因此我可以将权限限制为它们所需的权限。在您的情况下,简单地这样做可能会更容易:
- 在您的资源组中打开自动化帐户
- 向下滚动到Identity
- 单击Azure Role Assignments
- Select Contributor
- Click Add role assignment按钮
- 对于范围选择资源组,对于角色选择贡献者,其余的应该已经是Azure
创建角色分配。你就完事了。
如果您关心权限,我建议您阅读有关RBAC、Azure资源提供者操作(不要与Azure AD角色混淆)、自定义角色定义和角色分配的信息。
Stack Overflow用户
发布于 2021-12-03 11:22:59
现在,我已经准备了如下内容:
$uri = <DDNS_NAME>
$resolvedIp = [system.net.dns]::GetHostByName($uri).AddressList.IPAddressToString
Write-Output ("The IP address is: " + $resolvedIp)
$nsg = Get-AzNetworkSecurityGroup -Name <MY_NSG_NAME> -ResourceGroupName <MY_RESGRP_NAME>
$nsg | Get-AzNetworkSecurityRuleConfig -Name <RULE_NAME>
Set-AzNetworkSecurityRuleConfig -Name <RULE_NAME> -NetworkSecurityGroup $nsg -SourceAddressPrefix $resolvedIp脚本执行时没有错误,但NSG中的源地址保持不变。@Marco也许你知道我哪里错了吗?PS:我已经添加了所有需要的特权使用自动化帐户的组资源。
https://stackoverflow.com/questions/70198701
复制相似问题
腾讯云开发者
