成都网站建设设计

将想法与焦点和您一起共享

如何使用AzureFirewall和Endpoint设置AzureSQL

    Azure Firewall的介绍

创新互联公司专注为客户提供全方位的互联网综合服务,包含不限于网站制作、网站设计、藤县网络推广、小程序定制开发、藤县网络营销、藤县企业策划、藤县品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联公司为所有大学生创业者提供藤县建站搭建服务,24小时服务热线:13518219792,官方网址:www.cdcxhl.com

    Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。可以跨订阅和虚拟网络集中创建、实施和记录应用程序与网络连接策略。 Azure 防火墙对虚拟网络资源使用静态公共 IP 地址,使外部防火墙能够识别来自你的虚拟网络的流量。 该服务与用于日志记录和分析的 Azure Monitor 完全集成。

    endpoint的介绍

    虚拟网络 (VNet) 服务终结点可通过直接连接将 VNet 的虚拟网络专用地址空间和标识扩展到 Azure 服务。 使用终结点可以保护关键的 Azure 服务资源,只允许在客户自己的虚拟网络中对其进行访问。 从 VNet 发往 Azure 服务的流量始终保留在 Azure 主干网络中。

    服务终结点提供以下优势:

  •     提高 Azure 服务资源的安全性:VNet 专用地址空间可能重叠,因此不能用于唯一标识源自 VNet 的流量。 通过将 VNet 标识扩展到服务,服务终结点可以将对 Azure 服务资源的访问限定到你的虚拟网络。 在虚拟网络中启用服务终结点后,可以通过将虚拟网络规则添加到资源,在虚拟网络中保护 Azure 服务资源。 这完全消除了通过公共 Internet 对资源进行访问的可能性,并仅允许来自自己虚拟网络的流量,从而提高了安全性。

  •     来自虚拟网络的 Azure 服务流量的最佳路由:当前,虚拟网络中强制 Internet 流量发往本地和/或虚拟设备的任何路由(称为强制隧道)也会强制 Azure 服务流量采用与 Internet 流量相同的路由。 服务终结点为 Azure 流量提供最佳路由。

        终结点始终将直接来自虚拟网络的服务流量转发到 Azure 主干网络上的服务。 将流量保留在 Azure 主干网络上可以通过强制隧道持续审核和监视来自虚拟网络的出站 Internet 流量,而不会影响服务流量。

  • 设置简单,管理开销更少:不再需要使用虚拟网络中的保留公共 IP 地址通过 IP 防火墙保护 Azure 资源。 无需使用 NAT 或网关设备即可设置服务终结点。 只需单击一下子网,即可配置服务终结点。 不会产生与终结点维护相关的额外开销。

    听起来很不错,但是endpoint实际上是个regional的服务,比如你得vnet在北一,paas服务在东一,这种场景下就算开启了endpoint也不会有效果

这时候其实可以结合Azure firewall解决,前提是azure firewall部署在东一

    首先来看下没有endpoint适合的访问场景,因为默认路由指向FW,如果没有FW的网络规则允许访问Azure SQL,访问会被拒绝,即使加了Azure SQL白名单也没用

如何使用Azure Firewall和Endpoint设置Azure SQL

    接下来,首先在FW上添加规则允许出站访问azure sql,这里可以看到,和nsg类似,firewall里也可以以service tag来添加规则,很方便

如何使用Azure Firewall和Endpoint设置Azure SQL

    这次可以看到,提示我们没有添加到白名单,但是起码网络肯定是通了

    如何使用Azure Firewall和Endpoint设置Azure SQL

    这里把FW的IP添加进去,正常连接了

如何使用Azure Firewall和Endpoint设置Azure SQL

    可以看到源IP就是FW的IP

    如何使用Azure Firewall和Endpoint设置Azure SQL

    接下来在firewall的subnet添加sql的endpoint

如何使用Azure Firewall和Endpoint设置Azure SQL

    之后,在azure sql添加允许firewall所在的subnet访问

如何使用Azure Firewall和Endpoint设置Azure SQL

    这次再试一下,已经可以看到访问的IP是firewall的内网IP了!

    如何使用Azure Firewall和Endpoint设置Azure SQL


新闻名称:如何使用AzureFirewall和Endpoint设置AzureSQL
网页URL:http://chengdu.cdxwcx.cn/article/ijscdi.html