我有:
- Azure 虚拟网络
- 点到站点 (P2S) 虚拟网络网关
- 该网络内的子网
- 子网内的虚拟机
- VM 所属的网络安全组,已设置默认规则
我能够通过 RDP 进入机器的唯一方法是使用公共 IP 地址并设置以下网络安全组规则:
- 优先级:1000
- 名称:default-allow-rdp
- 端口:3389
- 协议:TCP
- 来源:Any
- 目的地:任意
- 操作:允许
我的目标是仅当连接到 VPN 时才允许用户通过 RDP 连接到虚拟机。我该如何实现? 补充:可以使用私有(而非公共)IP 地址实现吗?我尝试过不同的来源(服务标签、VPN IP 地址空间)、目的地(特定 IP 地址范围),但都没有成功。
显然我不希望 3389 端口暴露给别人利用。
答案1
是的,您只需使用虚拟机的私有 IP 地址即可实现此目的。您无需执行任何操作(除非您使用 nsg 专门阻止 vnet 内的流量)。您可以删除公共 IP 地址,这样它就可以正常工作
如果你确实阻止了 vnet 内的流量,则需要从 p2s vpn 范围向端口 3389(或任何你的 rdp 端口)添加允许规则