W starym portalu Azure dodanie endpoint’ów do maszyny wirtualnej sprowadzało się do otworzenia zakładki Endpoints gdzie można było manipulować po jakich portach maszyny są dostępne w Internecie.
W nowym portalu dodanie endpoint’u w klasycznej maszynie wirtualnej również nie powinno sprawić kłopotu. Wystarczy w portalu przejść do zakładki ustawień maszyny i wybrać z listy pozycję Punkty końcowe.
Ale nowy portal Azure wprowadza pojęcie grup zasobów, które są swego rodzaju kontenerami dla maszyn wirtualnych. Nie mogłem na szybko znaleźć jak dodawać endpoint’y w takiej konfiguracji więc poniżej zamieszczam instrukcję dla zainteresowanych 🙂
Aby dodać lub modyfikować już istniejący endpoint maszyny wirtualnej znajdującej się w grupie zasobów należy wejść nieco głębiej:
- Otworzyć ustawienia maszyny wirtualnej dla której chcemy zmodyfikować endpoint’y. Kliknąć link do grupy zasobów.
- Na nowo otwartej zakładce kliknąć ikonkę tarczy.
- W ustawieniach grupy zabezpieczeń sieci wybrać Reguły zabezpieczeń dla ruchu przychodzącego.
Tutaj możemy modyfikować, usuwać i dodawać endpoint’y dla danej maszyny wirtualnej. Każdy endpoint może zezwalać na ruch dla wybranych portów lub go blokować.
Połączenie RDP do maszyn wirtualnych w Azure jest domyślnie skonfigurowane w ten sposób że korzysta z losowych portów do łączenia się zdalnie. Jak twierdzi Microsoft pozwala to zwiększyć bezpieczeństwo maszyn wirtualnych w chmurze.
Czasem może się okazać że sieć z której chcemy się dostać do maszyny wirtualnej jest tak zabezpieczona by uniemożliwić połączenia na takich portach. Tak było w moim przypadku gdy spróbowałem nawiązać połączenie RDP do maszyny w Azure:
Wyedytowałem endpoint default-allow-rdp tak by zamiast korzystać z losowych portów publicznych (w Azure reprezentowany przez symbol gwiazdki *) zawsze nawiązywał połączenie po źródłowym porcie 3389 na docelowy 3389 – po rozmowie z administratorem sieci okazało się że port 3389 jest odblokowany. Poniżej docelowa konfiguracja endpoint’a w Azure: