У меня есть три классические виртуальные машины Azure в подсети с включенными доменными службами. Машины присоединены к домену и доступны через RD.
Чтобы применить общий набор правил для входящих подключений, я создал группу сетевой безопасности и связал ее с виртуальными машинами. При необходимости мне пришлось удалить конечные точки из виртуальной машины, чтобы присоединить NSG.
После того, как NSG была введена в действие, машины больше не могут быть доступны с помощью виртуального IP. Если я удалю группу безопасности сети и снова добавлю конечную точку, RDP будет работать.
Единственный способ связаться с виртуальной машиной с подключенной NSG - это переключить переключатель «IP-адрес экземпляра» и использовать этот второй IP-адрес с удаленного рабочего стола. Я думаю, что мне не хватает некоторых фундаментальных моментов о том, как работают сети Azure и NSG. Обратите внимание, что виртуальные машины были созданы в классическом режиме из-за требований к доменным службам Azure.
Единственный способ связаться с виртуальной машиной с подключенной NSG - это переключить переключатель «IP-адрес экземпляра» и использовать этот второй IP-адрес с удаленного рабочего стола.
Есть некоторая разница между ASM и ARM.
Виртуальная машина создается в модуле ASM, она будет создана с помощью общего IP (NAT) и полного доменного имени, мы можем подключиться к этой виртуальной машине с помощью FQDN или публичный IP и порт. Если вы хотите использовать NSG с классической виртуальной машиной, мы должны использовать IP-адрес экземпляра.
Модуль NSG в ARM, по умолчанию работает с публичным IP-адресом (ARM).
В классическом модуле список управления доступом к конечным точкам (ACL) является улучшением безопасности, доступным для вашего развертывания Azure. ACL предоставляет возможность выборочно разрешать или запрещать трафик для конечной точки виртуальной машины.
Дополнительную информацию о списках контроля доступа см. Здесь. ссылка на сайт.