最近做的一个项目需要在Azure中搭大概30台的Windows VM (在同一个VNet中), 客户把环境给我们之后,发现机器之间无法互相访问。无论是通过ping来测试连通性,还是尝用UNC Path来访问其他机器都不能成功,关了防火墙没有丝毫帮助。
客户那边不知道是没时间看还是怎么着,今天终于给我了在Azure Portal里访问这些VM的权限(只读)。让我“看看”可能是什么造成的这个问题...
话说这个“只读权限”真的很坑,不能给微软提ticket,微软KB里建议的测试步骤基本都没权限操作...看了半天没看出来有明显问题的地方,后来决定还是再回去看一下Network Security Group这块,往下拉了下发现原来Outbound Rule这里客户配置了好多Rule, 之前因为界面Load太慢,其实下面的rule没有完全看到..拉到几乎最后,发现客户配置了一个Priority为2000的rule, Deny any outbound traffic,这个override了default优先级为65000的VNet对Vnet的Rule, 就觉得这个很可疑了,但只能怀疑下,什么都不能做(再一次,只读权限..)
话说客户为了安全设置真的是拼了,Azure VM的Remote Connection一定要在没连客户公司VPN的情况下才能访问,连Azure Portal要在客户公司提供的电脑上。这两个条件一结合就造成了我没办法既看着这个问题,又能在Lync上Ping客户。好在客户的Teams不需要连VPN就能访问,正在给客户邮件的时候客户自己蹦出来了。于是让客户试了一下把这条Rule删掉,果然机器之间的连通性问题解决了。不过煞费苦心的客户是不会这么轻易就放弃这条Rule的,于是他把Vnet连通Vnet的Rule的优先级提高了,把这条Deny Rule的优先级设置得比这个低一点。就还是一定要防止我们有各种可能把客户的数据copy出去。不过安全防范意识还是很值得赞扬的。
819
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
