У меня есть веб-роль, которую я настроил в разделе NetworkConfiguration файла .cscfg как часть виртуальной сети. Я хочу, чтобы веб-роль была доступна только с других компьютеров в виртуальной сети, а не из общедоступного Интернета.
Первоначально я создал конечную точку ввода для порта 80, и это позволяет мне получать доступ к веб-роли с компьютера в виртуальной сети и из общедоступного Интернета.
Затем я изменил это на внутреннюю конечную точку для порта 80, но это заблокировало весь доступ как из общедоступного Интернета, так и с компьютеров в виртуальной сети.
Как я могу заблокировать общедоступный доступ в Интернет, но разрешить доступ через виртуальную сеть?
Вы можете сделать это, отредактировав ACL на вкладке конечной точки страницы настроек вашей веб-роли. Для этого: - Выберите конечную точку, доступ к которой вы хотите ограничить, и нажмите Управление ACL
Определение ACL для выбранной конечной точки:
Тогда вы сможете запретить доступ к другим сетям, как описано выше. Примечание: подсеть 0.0.0.0/0 представляете Интернет, обязательно поставьте все разрешать правила сверху, как сделано выше
Ограничение доступа к чужой сети:
Приведенный выше ответ - это самый простой способ обновить список управления доступом для виртуальных машин Azure; однако на момент написания невозможно напрямую редактировать ACL для веб-роли / рабочей роли Azure. Необходимо обновить ServiceConfiguration.Cloud.cscfg роли: http://blogs.msdn.com/b/walterm/archive/2014/04/22/windows-azure-paas-acls-are-here.aspx.
После обновления файла облачной конфигурации повторно разверните и этот файл, и упакованную роль. Если роль уже развернута, вы также можете просто загрузить файл конфигурации через портал Azure или PowerShell: http://www.devopsfu.com/2014/08/11/azure-cs-endpoint-acls/.