Как группы безопасности сети влияют на Azure IP-адреса виртуальных машин?
У меня есть три классические виртуальные машины Azure в подсети с включенными доменными службами. Машины присоединены к домену и доступны через RD.
Чтобы применить общий набор правил для входящего трафика, я создал группу сетевой безопасности и связал ее с виртуальными машинами. При необходимости мне пришлось удалить конечные точки из виртуальной машины, чтобы присоединить NSG.
После того, как NSG была введена в действие, машины больше не могут быть доступны с помощью виртуального IP. Если я удалю группу безопасности сети и снова добавлю конечную точку, RDP будет работать.
Единственный способ связаться с виртуальной машиной с подключенной сетью безопасности сети - переключить переключатель «IP-адрес экземпляра» и использовать этот второй IP-адрес с удаленного рабочего стола. Я думаю, что мне не хватает некоторых фундаментальных моментов о том, как работают сети Azure и NSG. Обратите внимание, что виртуальные машины были созданы в классическом режиме из-за требований к доменным службам Azure.
Единственный способ добраться до ВМ с прикрепленным НСГ - это переключать ВМ, созданная в модуле ASM, будет создавать общий IP(NAT) и FQDN, к этой ВМ можно подключиться по FQDN или публичному IP и порту . Если вы хотите использовать NSG с классической ВМ, нам нужно использовать Instance IP.
NSG в модуле ARM, он работает с публичным IP адресом (ARM) по умолчанию.
В классическом модуле, список контроля доступа конечной точки (Endpoint Access Control List - ACL) является улучшением безопасности, доступным для вашей установки Azure. ACL предоставляет возможность выборочно разрешать или запрещать трафик для конечной точки виртуальной машины.
.