使用资源模型我无法更改默认 RDP 端口。
有什么诀窍吗?
我已将“入站安全规则”更新到不同的端口,但什么也没发生,而且我在其他地方也看不到选项。
它曾经像更改不再可用的端点一样简单。
答案1
如果您需要另一个用于 RDP 连接的 TCP 端口,则必须在 Windows VM 上配置新端口号并创建新的端点访问规则
要执行此操作:
1- 启动注册表编辑器。 2- 找到并单击以下注册表子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber 3- 在“编辑”菜单上,单击“修改”,然后单击“十进制”。 4- 键入新端口号,然后单击“确定”。 5- 退出注册表编辑器。 6- 重新启动计算机。
在 Azure 管理控制台上或使用 Powershell 或 Azure CLI,创建一个端点以允许在你配置的端口上进行入站 TCP 流量
问候
斯坦尼斯拉斯
答案2
您目前正在使用网络安全组,它在某种程度上相当于防火墙规则,但不提供端口转发(这似乎是您所需要的)。
有关终结点的 Azure 文档(经典)提到了这一点,并指向一篇在虚拟机前设置负载平衡的文章,它可以以类似于 Classic 中提供的端点的方式提供“入站 NAT 规则”:
请注意,网络安全组控制对虚拟机的访问,但它们不提供端口转发功能。要进行端口转发,请参阅以下文章:
我对这个情况的理解是这样的:
在 Classic 中,你的虚拟机前面始终有一个 Azure 负载均衡器实例,因此会为你提供一个 VIP 地址。这被称为云服务。你在该 VIP 地址上进行端口转发(VIP 上的端口与私有 IP 上的端口不同 - 称为 DIP),因为 VIP 地址实际上已分配给负载均衡器,因此要为同一云服务中的所有潜在虚拟机提供服务,你必须明确允许从互联网到特定虚拟机的流量(除非您想要负载平衡的端点)。
现在,使用 Azure 资源管理器和新门户,默认情况下,您不会在 VM 前面获得负载均衡器,因此您不会获得 VIP 地址,而是获得附加到 VM 的实例级 IP 地址 (ILPIP) 和网络安全组 (NSG)仅允许入站 RDP,但允许任何出站流量。为什么现在需要 NSG?因为 ILPIP 仅分配给该 VM,所以无需明确创建端点,因为所有端口都可用(这是一对一的 NAT,类似于静态 NAT在 Cisco ASA 上)。出于安全原因,默认情况下也会应用此 NSG。当然,您可以选择不使用它,使用其他 NSG 或仅修改此 NSG(您一直在这样做)。
您无法使用 NSG 进行端口转发,因为它们只是安全规则,而不是 NAT 规则。您需要能够使用 NAT 规则才能进行端口转发,因此您需要在 VM 前面安装 Azure 负载均衡器,并利用入站 NAT 规则。