Как группы сетевой безопасности влияют на IP-адреса виртуальной машины Azure?
У меня есть три классические виртуальные машины Azure в подсети с включенными доменными службами. Машины присоединены к домену и доступны через RD.
Чтобы применить общий набор входящих правил, я создал группу сетевой безопасности и связал ее с виртуальными машинами. При необходимости мне пришлось удалить конечные точки с ВМ, чтобы присоединить NSG.
После того, как NSG были введены в действие, к машинам больше нельзя подключиться с помощью виртуального IP. Если я удаляю NSG и повторно добавляю, Endpoint RDP работает.
Единственный способ получить доступ к виртуальной машине с подключенным NSG - переключить переключатель на "IP-адрес экземпляра" и использовать этот второй IP-адрес с удаленного рабочего стола. Я думаю, что мне не хватает некоторых фундаментальных моментов о том, как работают сети Azure и NSG. Обратите внимание, что виртуальные машины были созданы в классическом режиме из-за требований Azure a Domain Services.
1 ответ
Единственный способ получить доступ к виртуальной машине с подключенным NSG - переключить переключатель на "IP-адрес экземпляра" и использовать этот второй IP-адрес с удаленного рабочего стола.
Есть некоторая разница между ASM и ARM.
Виртуальная машина создается в модуле ASM, она создается с помощью общего IP-адреса (NAT) и полного доменного имени, мы можем подключиться к этой виртуальной машине с помощью полного доменного имени или общедоступного IP-адреса и порта. Если вы хотите использовать NSG с классической виртуальной машиной, мы должны использовать Instance IP.
Модуль NSG в ARM, по умолчанию он работает с публичным IP-адресом (ARM).
В классическом модуле список контроля доступа к конечной точке (ACL) - это расширение безопасности, доступное для вашего развертывания Azure. ACL предоставляет возможность выборочно разрешать или запрещать трафик для конечной точки виртуальной машины.
Более подробную информацию о ACL, пожалуйста, обратитесь к этой ссылке.