Azure Cloud Service Конечная точка для виртуальной машины только для внутреннего доступа

Question

У меня есть виртуальная машина с SQL Server. Я открываю порт 1433 на брандмауэре Windows и конечную точку на соответствующем порту переадресации облачных служб 57501 - 1433. Я не указал ACL на этой конечной точке. Я хочу, чтобы конечная точка была доступна только из определенной подсети в VNet, где существует виртуальная машина.

Если я установил это в ACL, это не сработает - ACL, похоже, заботится об общедоступном IP-адресе клиента. Поскольку публичный IP-адрес может измениться, это не вариант.

Какой здесь подход? Обратите внимание: я не хочу напрямую подключаться к имени хоста VM, потому что я хочу использовать CNAME, который настроил для меня облачный сервис (фактическое имя компьютера Windows представляет собой случайную длинную строку).

Answer 1

NSGs применять правила входящего/исходящего трафика на уровне виртуальной машины или роли облачной службы-роли.

Примечание что правила по умолчанию NSG разрешают трафик в виртуальной сети и отправляются в Интернет. По умолчанию все остальные трафик отклоняются. Вам необходимо явно указать правила, чтобы изменить это поведение или разрешить любой другой трафик.

Вы можете создать правило NSG, как показано ниже, чтобы разрешить только трафик из определенной подсети в VNet.

Get-AzureNetworkSecurityGroup -Name "NSG-FrontEnd" ` 
| Set-AzureNetworkSecurityRule -Name rdp-rule ` 
    -Action Allow -Protocol TCP -Type Inbound -Priority 100 ` 
    -SourceAddressPrefix 192.168.1.0/24 -SourcePortRange '*' ` 
    -DestinationAddressPrefix '*' -DestinationPortRange '1433'