《Windows Azure Platform 系列文章目录》
Azure Virtual Desktop在创建完毕后,用户通过Web Portal:https://rdweb.wvd.azure.cn/arm/webclient/index.html。可以通过浏览器访问任意资源。
如果我们想限制AVD虚拟机可访问的网站地址,我们可以结合Azure Firewall来进行限制。
实现原理说明:
在Azure AVD虚拟网络所在的子网,设置路由,当AVD的虚拟机访问的地址是0.0.0.0/0 ,即所有流量,都指向到Azure Firewall的内网IP地址,进行流量清洗
1.首先我们准备一个虚拟网络
- subnet-1,创建Windows Server域控制器
- subnet-2,创建AVD虚拟机
- AzureFirewallSubnet,创建Azure防火墙
2.创建Azure资源,如防火墙等,记录下Azure防火墙的内网IP地址 (172.0.2.4)。如下图:
3.创建Azure路由表,与subnet-2关联(即AVD所在的虚拟网络子网)。如下图:
4.配置路由表的路由,指向到Internet (0.0.0.0/0)的流量,都指向到Azure防火墙的内网IP地址 (172.0.2.4)
5.配置Azure 防火墙的规则,具体请参考:
https://docs.microsoft.com/en-us/azure/firewall/protect-azure-virtual-desktop
首先配置network rules
| Name | Source type | Source | Protocol | Destination ports | Destination type | Destination |
|---|---|---|---|---|---|---|
| Rule Name | IP Address | AVD所在虚拟网络子网的subnet ip | TCP | 80 | IP Address | 169.254.169.254, 168.63.129.16 |
| Rule Name | IP Address | AVD所在虚拟网络子网的subnet ip | TCP | 443 | Service Tag | AzureCloud, WindowsVirtualDesktop |
| Rule Name | IP Address | AVD所在虚拟网络子网的subnet ip | TCP, UDP | 53 | IP Address | * |
| Rule name | IP Address | AVD所在虚拟网络子网的subnet ip | TCP | 1688 | IP address | 23.102.135.246 |
==========================================我是分隔符=======================================
==========================================这里介绍配置Firewall白名单==========================
6.我们假设只能访问*.baidu.com,具体的配置如下:
| Name | Source type | Source | Protocol | Destination type | Destination |
|---|---|---|---|---|---|
| Rule Name | IP Address | AVD所在虚拟网络子网的subnet ip | Https:443 | FQDN Tag | WindowsVirtualDesktop, WindowsUpdate, Windows Diagnostics, MicrosoftActiveProtectionService |
| Rule Name | IP Address | AVD所在虚拟网络子网的subnet ip | Http:80,Https:443 | FQDN Tag | *.baidu.com |
请注意上面的Action为Allow,具体截图如下:
7.通过web portal访问avd: https://rdweb.wvd.azure.cn/arm/webclient/index.html
当我们在avd环境里,访问百度的子域名 (www.baidu.com 或者cloud.baidu.com) 都是允许的
但是访问其他网站,比如qq.com, bing.com, sina.com等,都是拒绝访问的
==========================================我是分隔符=======================================
==========================================这里介绍配置Firewall黑名单==========================
8.如果要设置黑名单的话,需要在Application Rule设置如下:
- Priority ID为200的优先生效,首先拒绝访问qq和baidu
- Priority ID为1000的其次生效,允许访问所有网站
具体配置如下:
9.我们在AVD环境里,验证效果如下。不能访问baidu和qq,但是可以访问其他网站
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构
2015-11-30 SQL Azure (16) 创建PaaS SQL Azure V12数据库