标签: azure-networking

我今天有一个谜团要告诉你。我们在 Azure 上运行一个基于 CoreOS (2023.5.0 / Linux 4.19.25-coreos) 的小型三节点 Elasticsearch 集群。Elasticsearch 在主机网络模式下的 docker 容器内运行。在几乎完全免维护运行一年多之后，我们看到机器进入了一种非常有趣的状态。

更新

此问题已通过修复Linux 内核中的驱动程序解决。请参阅下面的答案。

症状

基本上，受影响的机器和其他两个节点之间的网络连接失效。它们都在同一个虚拟网络和同一个子网中，通常可以与其他人通信。仍然可以从其他子网（我可以通过 ssh 进入）和不同的对等虚拟网络访问受影响的节点。这台机器也有（非常不稳定的）互联网连接，但大多数请求只是超时。

我们观察到，在受影响的节点上，报告的“使用的套接字”数量/proc/net/sockstat非常高（大约 4.5k 而不是健康节点上的大约 300）。监控显示，这个数字从节点变得不可用的那一刻起迅速上升。

有趣的是，我们似乎无法识别这些使用过的套接字的来源：

# cat /proc/net/sockstat
sockets: used 4566
TCP: inuse 2 orphan 0 tw 2 alloc 98 mem 4
UDP: inuse 1 mem 0
UDPLITE: inuse 0
RAW: inuse 0
FRAG: inuse 0 memory 0

# cat /proc/net/sockstat6
TCP6: inuse 98
UDP6: inuse 1
UDPLITE6: inuse 0
RAW6: inuse 1
FRAG6: inuse …

我一直在尝试了解 Azure 防火墙 ( https://azure.microsoft.com/en-us/services/azure-firewall/ ) 与 NSG/网络安全组 ( https:// docs.microsoft.com/en-us/azure/virtual-network/security-overview）。

在我们设计的环境中，我们的订阅中目前有大约 5 到 10 个虚拟网络。目前，每一个都有自己的网络安全组。这些网络包含各种 Azure 产品（Web 应用程序、虚拟机、仅公开给受信任的位置、公开给 Internet 等）。从我的角度来看，我们可以通过网络安全组管理入站和出站流量。我认为，防火墙的唯一好处是它可以用作管理流量规则的单点。但是我认为防火墙的成本仅仅减少对它的管理是不值得的。我想我在关于 Azure 防火墙的功能与网络安全组的运作方式之间的区别的图片中遗漏了一些非常明显的内容。但我不明白什么。

有一个具体的问题：

• 什么时候需要在您的体系结构中安装 Azure 防火墙？
• Azure 网络安全组和 Azure 防火墙管理流量规则（HTTPS 和 RDP）有什么区别

我最初的尝试是尝试使用 Internet 连接共享并将一台机器专门用于前端 Linux 机器（只是转发大量端口），但是连接到 azure VPN 时连接共享似乎不起作用（我尝试过 Windows 10 和 win2008R2 到目前为止）。

我也找不到任何支持必要协议的 Linux VPN 软件。

我正在尝试在 Microsoft Azure 上创建一个点到站点 (P2S) VPN，为此我创建了一个 VNet，在 VNAT 下创建了几个子网，然后我读到我需要创建一个“网关子网”，以便能够将网络网关附加到我的 VNet。我不明白为什么网关（根据我的理解，它只是一个路由器）需要自己的子网？

经过进一步挖掘，我偶然发现了Azure VPN 网关常见问题解答，但它只说：

网关子网包含虚拟网络网关服务使用的 IP 地址。

和

创建网关子网时，指定子网包含的 IP 地址数。网关子网中的 IP 地址分配给网关服务。

我想知道这些是哪些网关服务？

每当我创建虚拟机时，它都会直接从“公共IP地址 - 基本”配额中获取，何时会使用标准？以及在哪里设置呢？

它们之间有什么区别？

我正在使用 Azure Active Directory（高级版，具有完整的 MFA）。我已经设置了一个 VPN 网关，并希望用户能够使用他们的 Azure AD 用户名和密码（而不是证书）对其进行身份验证。

从我读到的所有内容来看，这应该是可能的——Azure MFA 提供了一个 RADIUS 服务器，Azure VPN 网关可以连接到一个 RADIUS 服务器。

但我不知道如何进行适配——在网关的 P2S 配置中，我需要提供一个 IP 地址和一个秘密。我可以从哪里获得 Azure AD MFA 服务器的那些？

我已经设置了一个带有弹性池的 Azure SQL Server，我在其中创建了一个测试数据库。

我还设置了 Azure 虚拟网络和点到站点 VPN。虚拟网络有 2 个子网 - 一个用于 GatewaySubnet，另一个用于我放置了 Windows 虚拟机。

我已成功配置对 VM 的远程桌面访问，并已验证我只能在连接到 VPN 时使用服务器的内部 IP 连接到远程桌面（我还禁止通过外部 IP 访问 RDP - 但这无关紧要）我的问题）。

我想尽可能限制和控制对 SQL Server 的访问。我已将“允许访问 Azure 服务”设置为“关闭”。我还将我的两个虚拟网络的子网添加到 SQL Server 的防火墙设置并启用了“Microsoft.Sql”端点。

我已经验证我可以从安装在虚拟机上的 SQL Server Management Studio 的副本连接到 SQL Server。

但是 - 即使通过 VPN 连接，我也无法从台式机使用 SQL Server Management Studio 进行连接。我希望能够在不将我的客户端 IP 直接添加到防火墙的情况下执行此操作。我们有许多远程开发人员（都在动态 IP 上）需要访问服务器，我不希望管理这些防火墙规则的开销。我宁愿给他们 VPN 客户端。

提前致谢...

我在 Azure 上为我的域运行我自己的邮件服务器。在部署将替换我现有服务器的新 VM 后，我偶然发现无法运行像port25的 DKIM 测试器这样的简单电子邮件诊断测试。我发现这篇 Microsoft 文章显示 MS 决定关闭新部署运行端口 25 的能力，并且应该提出支持请求以解锁端口 25 出站。

文章说支持请求必须是针对技术问题的，但是我的订阅不允许技术支持请求，除非我购买了付费 MSDN 订阅。

我以非常低的预算运行自己的域，主要是为了好玩而不是为了盈利，但在关闭电子商务托管业务后，我试图减少服务器数量。所以我不想为比我目前运行的两台服务器更有价值的订阅付费。

如何在无法发出技术请求的情况下请求解锁端口 25 并通过 Microsoft 的筛选？

我有一个在 Azure 中运行的 Centos7 VM 实例。它有一个可通过互联网访问的公共 IPv4 地址。我想向该实例的网络接口添加公共 IPv6 地址，但我不知道如何执行此操作。似乎没有办法将其从门户添加到界面。我查阅了文档，但似乎有冲突的信息表明这是不可能的，或者只能通过创建新的虚拟机来实现。我也尝试过这一点，但再次无法使其发挥作用。我在 Google 上找到的信息似乎已过时。

如果有人能建议是否可以将公共 IPv4 和 IPv6 地址分配给同一个虚拟机，以及如果可以的话如何实现，我将非常感激。谢谢！

在文档考试 AZ-900：Microsoft Azure Fundamentals - Skills Measured 中，在“了解安全性、隐私、合规性和信任”部分和“了解 Azure 中的网络连接安全”小节下，第三个项目符号为“用户定义的规则（ UDR)”。

我在 Azure 网站和谷歌搜索上广泛搜索，但没有结果。这些是什么？

我在 Azure 中制作了一些虚拟机。

我可以看到已经为我的 VM 创建了一个 vnet。这很棒，因为他们需要网络，我（当然）希望他们能够相互连接。

我还可以看到已经创建了一个网络安全组，这很好，因为我可以控制防火墙规则和外部访问。

但是，我不清楚它们之间的区别以及为什么它们都存在？为什么它们是分开的，而不是作为 vnet 下的防火墙选项卡实现的网络安全组（以 SQL 数据库的方式）。我也看不到 vnet 和网络安全组之间的关系。他们都拥有相同的 NIC，但似乎彼此没有任何认识 - 这是否意味着安全组可能不适用于网络上的某些 NIC？（反之亦然，网络安全组是否可以拥有来自不同 vnet 的 NIC？）。

我正在将我们的 Web 应用程序的部署从 Azure 应用程序服务更改为应用程序网关后面的 VM，因为应用程序服务无法处理我们几天前的峰值负载。

我现在想要做的是保护应用程序免受可能的非常短的高峰使用的影响是实现速率限制（例如，每个客户端/IP 每分钟最多 60 个请求）。

预计该应用程序的使用高峰期非常短（售票应用程序并开始销售非常受欢迎的活动）。
上次出现峰值并且服务器变慢时，人们开始尽可能快地点击“刷新”并完全关闭整个系统而没有机会恢复（每秒有数千个请求，我们的系统无法启动再次，因为它并不是真正为如此高的负载而设计的，因为在 99.9% 的时间里，我们每秒有 <100 个请求） - 所以我们希望有可能避免此类用户对系统进行“DDoS”攻击”意外或因为害怕没有拿到他们的票”...

这可以使用应用程序网关吗？
任何其他想法如何实现这种（按需）速率限制？

我发现如下：https://docs.microsoft.com/en-us/azure/api-management/api-management-sample-flexible-throttling 但这似乎不适用于应用程序网关，或者至少我做到了不知道怎么...