Во-первых, везде, где это возможно, старайтесь не назначать NSG сетевым картам - это не значит, что плохая практика просто увеличивает трудность управления. Хотя в некоторых очень жестких сценариях безопасности это может быть необходимо.
Ваша VPN-точка-точка будет обслуживаться шлюзом VPN, и клиентам будет выдаваться IP-адрес из клиентского пула адресов.
В вашем сценарии вам потребуется создать правило для входящих подключений, чтобы разрешить подключения VPN-клиентов к внутреннему IP-адресу целевой виртуальной машины в любом и всех NSG, которые применяются к:
- Шлюзуподсеть
- Подсеть NIC виртуальной машины
- NIC виртуальной машины
Если к подсети Gateway не применен NSG, вы можете оставить его какэто так.
Вам потребуется получить пул адресов клиента от шлюза VPN и использовать сетевой адрес с нотацией CIDR для заполнения диапазона исходного CIDR. Пример ниже:
Убедитесь, что вы присвоили правилу соответствующий приоритет, чтобы оно обрабатывалось до любого отклоненияправила действий, которые могут иметь приоритет.
Возможно, вы захотите исключить 8080 из этого правила и вместо этого создать отдельное правило, которое разрешит доступ к нему любому адресу источника. Это правило должно существовать в подсети и NSG NIC.