Как ограничить RDP для виртуальных машин Azure только через VPN?

Question

Как ограничить RDP для виртуальных машин Azure только через VPN?

Я имею:

Виртуальная сеть Azure
Шлюз виртуальной сети точка-сайт (P2S)
Подсеть внутри этой сети
Виртуальная машина внутри подсети
Группа безопасности сети, членом которой является виртуальная машина, с установленными правилами по умолчанию

Единственный способ, которым я смог подключиться к RDP, - это использовать публичный IP-адрес и установить следующее правило группы безопасности сети:

Приоритет: 1000
Имя: default-allow-rdp
Порт: 3389
Протокол: TCP
Источник: любой
Направление: Любое
Действие: Разрешить

Моя цель - разрешить пользователям RDP на ВМ только при подключении к VPN. Как мне этого добиться? Бонус: это может быть достигнуто с частным (против публичного) IP-адреса? Я играл с разными источниками (метки обслуживания, пространство IP-адресов VPN), местами назначения (конкретные диапазоны IP-адресов), но безуспешно.

Очевидно, я не хочу, чтобы порт 3389 был открыт для всего мира.

1

security vpn azure rdp azure-networking

Источник

todon2 14 авг '18 в 18:14

1 ответ

Другие вопросы по тегам security vpn azure rdp azure-networking

4c74356b41 14 авг '18 в 18:18 2018-08-14 18:18 · Answer 1 · 2018-08-14 18:18

Да, вы можете достичь этого только с помощью частного IP-адреса виртуальной машины. вам не нужно ничего делать (если вы специально не блокируете трафик внутри vnet с помощью nsg). Вы можете удалить публичный IP-адрес, и он будет просто работать

если вы блокируете трафик внутри vnet, вам нужно добавить разрешающее правило для порта 3389 (или любого другого порта rdp) из диапазона p2s vpn