适用于VM的Azure云服务端点仅允许内部访问

时间:2016-02-14 22:21:20

标签: azure azure-virtual-machine azure-virtual-network

我有一台运行SQL Server的VM。我在Windows防火墙上打开了端口1433,在相应的云服务转发端口57501到1433上打开了一个端点。我没有在该端点上指定任何ACL。我希望只能从VM所在的VNet中的特定子网访问端点。

如果我在ACL中设置它,它不起作用 - ACL似乎只关心客户端的公共IP。由于公共知识产权可能会发生变化,因此这不是一种选择。

这里推荐的方法是什么?请注意,我不想直接连接到VM主机名,因为我想使用云服务为我设置的CNAME(实际的Windows计算机名称是随机长字符串)。

1 个答案:

答案 0 :(得分:0)

NSGs对VM或云服务角色实例级别的传入/传出流量应用规则。

注意 NSG默认规则允许虚拟网络中的流量和Internet出站。默认情况下拒绝所有其他流量。您需要明确指定规则以更改此行为或允许任何其他流量进/出。

您可以创建如下所示的NSG规则,仅允许来自VNet内特定子网的流量。

Get-AzureNetworkSecurityGroup -Name "NSG-FrontEnd" `
| Set-AzureNetworkSecurityRule -Name rdp-rule `
    -Action Allow -Protocol TCP -Type Inbound -Priority 100 `
    -SourceAddressPrefix 192.168.1.0/24  -SourcePortRange '*' `
    -DestinationAddressPrefix '*' -DestinationPortRange '1433'