锁定对特定 IP 的 Azure VM 访问答案

【问题标题】：Lock down access to Azure VM to specific IP锁定对特定 IP 的 Azure VM 访问
【发布时间】：2012-10-25 08:43:45
【问题描述】：

我们计划在预览版结束后立即注册 Azure VM 试用版。但是，与此同时，有人可以澄清以下内容吗？

目前，用户可以使用远程桌面连接 (RDC) 访问 Azure VM 实例。但是是否可以“锁定”Azure VM 实例，以便只有指定的 IP 地址可以通过 RDC 连接？

这将为我们提供一些额外的安全性，因为我们知道只有我们的固定办公室 IP 可以连接到我们的实时数据服务器。还是有不同的方法？

【问题讨论】：

【解决方案1】：

Windows Azure 负载平衡器（所有流量都通过它路由）没有任何类型的 IP 白名单功能。您需要在 VM 的防火墙中实现它。如果这是云服务 (PaaS)，则防火墙规则将应用于任何启动的新实例。使用 IaaS，您可以将规则应用于每个 VM，或者最初在 VM 中设置规则，然后将其用作其他 VM 的映像。

编辑 2013 年 7 月 29 日 这个答案有点过时了。虚拟机现在具有基于 IP 的端点 ACL 允许/拒绝列表，目前可通过 PowerShell 访问。您可以为每个端点设置单独的 IP 过滤，因此，在您的情况下，您可以专门锁定 RDP 端口。请参阅this blog post 了解更多信息。

【讨论】：

太好了，谢谢。这将是 IaaS，因此知道我们可以为新的 VM 实例复制规则很有用。当您说“在 VM 的防火墙中实现”时，您指的是 VM 附带的标准 Windows 防火墙，还是有外部 Azure 接口来管理它？
是的，只是标准的 Windows 防火墙。 :)
这种方法的问题是您最终可能会被锁定在机器之外。如果您更改公共 IP，则无法返回操作系统更改 IP 规则。亚马逊在机器外部支持此功能，因此您可以在管理门户中对其进行编辑。
我来这里是为了寻找最佳实践建议，是否将 VM 防火墙用作 ACL 之外的第二层。 @MagnusAkselvoll 关于被锁定的评论帮助我决定答案不是为 RDP 确定 VM 防火墙的范围。所以谢谢你。
@DavidMakogon 现在您可以在 Azure 管理门户中创建 ACL。见Manage the ACL on an endpoint