Kubernetes Azure入口TCP转发网络安全组

我已经创建了一个入口服务，它将TCP端口22转发到集群中的一个服务。按原样，每个入站流量都是允许的

我想知道的是，是否可以定义NSG规则，以防止仅访问某个子网。我能够使用Azure接口定义该规则。但是，每次编辑入口服务时，这些网络安全组规则都会恢复

---

谢谢

是的！这是绝对可能的。Azure NSG用于子网和NIC。您可以在NSG规则上定义CIDR，以允许/拒绝所需端口上的流量，并将其应用于NIC和子网。如果群集位于同一子网内，请注意确保在子网和NIC级别具有匹配规则。否则交通将在内部受阻，无法通行。本文件对其进行了最好的描述。

我认为对AKS中的NSG会有一些误解。首先让我们看看AKS的网络，Kubernetes使用服务将一组POD逻辑地组合在一起，并提供网络连接。有关更多详细信息，请参阅。当您创建服务时，Azure平台会自动配置所需的任何网络安全组规则

不要手动配置要筛选的网络安全组规则 AKS群集中吊舱的流量

有关更多详细信息，请参阅。因此，在这种情况下，您不需要手动管理NSG中的规则

---

但别担心，您也可以根据需要手动管理pod的规则。看见您可以安装Calico网络策略引擎并创建Kubernetes网络策略，以控制AKS中POD之间的流量。虽然它只是预览版，但它也可以帮助您实现所需的功能。但是请记住，只有在创建群集时才能启用网络策略。

非常感谢您的回复。我想我已经做了一些有用的事情。但是，我想知道是否有可能直接在服务配置中设置该限制，以便在创建服务时使用正确的新规则配置已经由Kubernetes创建和管理的NSG。