我按照这个很棒的教程使用ACI设置了一个简单的SFTP:https://azure.microsoft.com/en-ca/resources/samples/sftp-creation-template/
问题是这个东西有一个公共IP,并没有防火墙来保护它。我想让这件事更安全。我对Azure VNets非常好,但是还没有很多与Linux或ACI相关的经验。我看到它的方式我可以做两件事之一
1)在我的vnet中部署此ACI并通过NSG或类似设备控制访问。不确定这是否适用于ACI?这有什么限制吗?
2)在linux构建中使用IPtables? sftp构建基于atmoz / sftp,但配置为ARM部署模板。我真的只需要将对这个SFTP的访问权限限制为单个IP,所以我可以制定两个规则,但如果我走这条路线,我很乐意在ARM模板本身配置它。
所以我的问题真的是a)这里最好的做法是什么? vnet在逻辑上似乎更安全b)对于我自己的启发,我将在哪里学习如何在ARM模板中配置类似IPTables的东西?是可以在部署模板中配置的东西吗?
谢谢大家,
据我所知,这两个选项都适用于ACI。但我更愿意选择NSG,因为它更容易在Azure门户上管理它而不是访问实例。此外,它将控制子网中的网络访问,它对您的实例设置几乎没有影响。 IPTables在实例内部工作如果您的Image支持IPTables。
使用VNet部署ACI时存在一些限制。如
有关详细信息,请阅读:Deploy container instances into an Azure virtual network。