ホスト Windows、プロキシ Linux (同じ VNET、異なるサブネット)、および sftp Linux (異なる VNET とサブネット) マシンがあり、SSH はポート 815 で有効になっています (SSH は各マシンに設定されたドメインに対して実行されます)。現在、ファイアウォール (新しい VNET と AzureFirewallSubnet) を実装し、VM VNET をファイアウォール (ピアリング) に接続しています。ポート 815 で SSH に対して DNAT ルールが有効になっていますが、ファイアウォール経由では、最初に SSH が有効になっている 1 台のマシンにしか接続できません (すべてのマシンで同じポートを使用しているため)。マシンのパブリック IP に SSH して、SSH を別のポートに設定する必要がないようにする方法やその他の方法があるかどうかを知りたいです。ファイアウォールとネットワークの完全な初心者なので、どんなヒントでも本当に役立ちます。よろしくお願いします。
注意: インフラストラクチャは完全に Terraform を使用して構築されます。
答え1
S2S VPN を設定し、ファイアウォール ルールでさまざまな vnet へのソースとして VPN の特定の IP 範囲を許可します。
もう 1 つのオプションは、SSH アクセスが必要なさまざまな VNet に Azure Bastion を配置することです。Azure Bastion は、一種のジャンプ ホスト経由で安全な SSH を可能にする Azure の管理サービスですが、Microsoft によって管理されます。リモート デスクトップ プロトコル (RDP) または Secure Shell (SSH) を使用して Azure ポータルから直接 VM に接続できるため、パブリック IP アドレスや VPN 接続が不要になります。これにより、パブリック インターネットへの露出が減り、セキュリティが強化され、リモート アクセス管理が簡素化されます。