Когда я вчера вечером настраивал виртуальную машину Windows Azure, мне пришлось редактировать сопоставления на портале управления Azure. Это процесс открытия общедоступного порта и сопоставления его с частным портом. Это очень просто, но я заметил, что Azure по умолчанию отображает частный RDP 3389 на какой-то случайный высокий номер порта, например, 51460.
Мне нужно открыть http с таким отображением private 80 >> public 80. Мог ли я получить какую-то пользу от сопоставления случайного номера общедоступного порта с частным портом 80 ?? Мне кажется, это просто заблокировало бы весь трафик, поскольку http в любом случае будет ЗАПРОСЕН на 80.
Так зачем они это делают?
Является ли RDP очень важной целью, которая на законных основаниях должна вызываться только из частных запросов администратора?
Итак ... для чего-то вроде веб-сервера у вас обычно есть более одной виртуальной машины (для масштабирования), и вы обычно хотите, чтобы балансировщик нагрузки выполнял свою работу и распределял трафик по всем вашим виртуальным машинам. В этом случае вы должны использовать конечную точку с балансировкой нагрузки и сопоставить порт 80 (внешний) с портом 80 (внутренний) - нет смысла выбирать какой-то случайный входной порт. Конечно, если у вас нестандартный веб-сайт (например, сайт управления), возможно, вы разместите его на чем-нибудь другом (например, на порте 8000). На этом этапе вы можете решить сопоставить его с портом 80 или оставить его на порту 8000.
Где начинается самое интересное: что-то вроде RDP. Если вы просто использовали порт 3389 и у вас было несколько виртуальных машин, все они отображали внешний 3389 на внутренний 3389, как бы вы выбрали, к какой виртуальной машине подключать RDP? Ответ: ты не стал бы - у вас будет конечная точка с балансировкой нагрузки, и вам повезет, и вы сможете только угадать, к какой виртуальной машине вы подключены.
Поэтому вы используете конечные точки с переадресацией портов, по одной конечной точке на виртуальную машину, каждая со своим собственным выделенным портом. Из внешнего мира у вас теперь будет банк портов: возможно, 55000, 56000 и т. Д. Каждый из них затем будет отображаться на внутренний порт 3389 на соответствующей виртуальной машине. И ... вуаля - у вас есть прямой доступ по протоколу RDP к каждой виртуальной машине.
Это сопоставление портов также применимо к ssh (при использовании Linux) или к любому другому сценарию, когда у вас есть служба, работающая независимо на нескольких виртуальных машинах, где вам по какой-то причине нужен прямой доступ к конкретной виртуальной машине.