Мы разрабатываем приложение с Service Fabric на основе этого шаблона ARM https://github.com/Azure/azure-quickstart-templates/tree/master/service-fabric-secure-nsg-cluster-65-node-3-nodetype.
У нас есть два типа узлов: фронтенд, бэкэнд. Идея состоит в том, чтобы открыть интерфейс для Интернета, а тип узла внутреннего интерфейса должен быть доступен только через тип узла внешнего интерфейса. Это то, что мы создаем, за исключением того, что у нас есть два типа узлов: https://github.com/Azure/azure-quickstart-templates/blob/master/service-fabric-secure-nsg-cluster-65-node.-3-nodetype/NSG1.PNG
У нас есть 1 vnet служебной фабрики, две подсети (интерфейсная и внутренняя), два балансировщика нагрузки (которые доступны из сети) и две группы сетевой безопасности.
Мы хотим получить доступ к сервису служебной фабрики в бэкэнде nodetype с портом X. Мы получаем доступ к бэкэнд-балансировщику нагрузки из внешнего экземпляра. Правило безопасности входящего трафика (бэкэнд) блокирует трафик (prio 4095, «blockall»).
Если мы создадим правило, разрешающее порт x (любой источник и пункт назначения), оно будет работать. Но мы хотим ограничить доступ извне. Мы настраиваем группу безопасности сети с исходным балансировщиком нагрузки и любым назначением, но мы по-прежнему не можем подключиться к типу внешнего узла. У кого-нибудь еще есть эта проблема?