我有一台运行SQL Server的VM。我在Windows防火墙上打开了端口1433,在相应的云服务转发端口57501到1433上打开了一个端点。我没有在该端点上指定任何ACL。我希望只能从VM所在的VNet中的特定子网访问端点。
如果我在ACL中设置它,它不起作用 - ACL似乎只关心客户端的公共IP。由于公共知识产权可能会发生变化,因此这不是一种选择。
这里推荐的方法是什么?请注意,我不想直接连接到VM主机名,因为我想使用云服务为我设置的CNAME(实际的Windows计算机名称是随机长字符串)。
答案 0 :(得分:0)
NSGs对VM或云服务角色实例级别的传入/传出流量应用规则。
注意 NSG默认规则允许虚拟网络中的流量和Internet出站。默认情况下拒绝所有其他流量。您需要明确指定规则以更改此行为或允许任何其他流量进/出。
您可以创建如下所示的NSG规则,仅允许来自VNet内特定子网的流量。
Get-AzureNetworkSecurityGroup -Name "NSG-FrontEnd" `
| Set-AzureNetworkSecurityRule -Name rdp-rule `
-Action Allow -Protocol TCP -Type Inbound -Priority 100 `
-SourceAddressPrefix 192.168.1.0/24 -SourcePortRange '*' `
-DestinationAddressPrefix '*' -DestinationPortRange '1433'