Изменение порта RDP по умолчанию в Azure

Если вам нужен другой TCP порт для RDP соединения, вам нужно настроить новый номер порта на вашей ВМ Windows и создать новое правило доступа к конечной точке

Для выполнения этой операции :

1- Запустить редактор реестра (Start Registry Editor). 2- Найдите и нажмите на следующую подклавишу реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber 3- В меню "Правка" нажмите "Изменить", а затем "Десять". 4- Введите новый номер порта и нажмите OK. 5- Выход из редактора реестра. 6- Перезагрузите компьютер.

В консоли Azure Management или с помощью Powershell или Azure CLI создайте конечную точку, чтобы разрешить входящий TCP трафик на настроенном порту

Regards

Stanislas

В настоящее время вы работаете с группами сетевой безопасности, которые каким-то образом эквивалентны правилам брандмауэра, но не обеспечивают переадресацию портов (что, кажется, вам и нужно).

Лазурная документация по конечным точкам (Classic) упоминает об этом и указывает на статью по настройке балансировки нагрузки перед вашей виртуальной машиной, которая может предоставлять "Inbound NAT rules" аналогично тому, что предоставляют конечные точки в Classic:

Пожалуйста, обратите внимание на то, что группы сетевой безопасности контролируют доступ к виртуальному машины, но они не обеспечивают возможности переадресации портов. Делать Переадресация портов, смотрите следующую статью:

• Начните настраивать балансировщик нагрузки с выходом в интернет с помощью Azure Resource Manager

Вот как я понимаю ситуацию:

В Classic у вас всегда был экземпляр Azure Load Balancer перед вашей виртуальной машиной, поэтому вам был предоставлен VIP-адрес. Это называлось Облачный сервис . Именно на этом VIP адресе вы выполняли переадресацию портов (другой порт на VIP, чем на частном IP - известном как DIP), так как VIP адрес на самом деле был назначен балансировщику нагрузки, следовательно, обслуживая все потенциальные виртуальные машины в одном облачном сервисе, вы должны были явно разрешить трафик из Интернета на конкретную виртуальную машину (если только вы не хотели иметь сбалансированную по нагрузке конечную точку). Теперь с Azure Resource Manager и новым порталом, по умолчанию вы не получаете балансировщик нагрузки перед виртуальной машиной, поэтому вместо получения VIP адреса вы получаете IP адрес уровня инстанции (ILPIP), прикрепленный к виртуальной машине, и Network Security Group (NSG), который разрешает только входящий RDP, но разрешает любой исходящий трафик. Зачем нужна NSG сейчас? Потому что ILPIP назначен только для этой ВМ, поэтому нет необходимости явно создавать конечные точки, так как все ваши порты будут доступны (это NAT один на один, подобно концепции статического NAT на Cisco ASA). По соображениям безопасности вы используете этот NSG и по умолчанию. Конечно, вы можете не иметь ее, использовать другую или просто модифицировать эту (что вы и делали).

Вы не можете делать переадресацию портов в NSG, потому что это только правила безопасности, а не правила NAT. Вам нужно иметь возможность работать с правилами NAT, чтобы делать переадресацию портов, поэтому вам нужен Azure Load Balancer перед вашим ВМ и использовать Inbound NAT Rules.