Вопросы Теги

Как ограничить доступ между двумя виртуальными машинами Azure с помощью ACL?

У меня есть две виртуальные машины для базы данных и сервера приложений, и я хочу, чтобы сервер приложений и только сервер приложений подключались к серверу базы данных.

Они находятся в том же vnet. Я пытаюсь сделать это, защищая конечную точку.

С помощью Azure я вижу, что если я выключу виртуальные машины, они получат новые IP-адреса, поэтому я не могу жестко закодировать общедоступный IP-адрес сервера приложений в списке ACL базы данных. сервер. Если я помещу диапазон vnet, например 10.2.0.0/16, в acl, тогда мне понадобится строка подключения к базе данных моего сервера приложений, чтобы использовать локальный адрес, но опять же, локальный адрес базы данных изменится, когда она выключится.

Единственный вариант Вижу, нужно настроить DNS-сервер. Есть ли другой способ?

Потенциально я мог бы добавить роль DNS на свой сервер приложений. Похоже, это будет обычным сценарием, как обычно люди справляются с этим?

Изменить: Я нашел, как получить полное доменное имя с помощью nslookup. Это разрешается в адрес 10.xxx, поэтому я могу использовать его в строке подключения.

0
задан 5 January 2016 в 08:11
2 ответа

Вы изучили группы безопасности сети? https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/

2
ответ дан 4 December 2019 в 12:25

Вы можете зарезервировать как общедоступные, так и частные IP-адреса, чтобы избежать изменений.

Пример для частного IP: 

Get-AzureVM -ServiceName MyCloudService -Name MyVM | Set-AzureStaticVNetIP -IPAddress 10.10.0.7 | Update-AzureVM

Пример для общедоступного IP: 

New-AzureReservedIP –ReservedIPName MyReservedIP –Location "Central US"

Set-AzureReservedIPAssociation -ReservedIPName MyReservedIP -ServiceName MyCloudService

Что касается NSG по сравнению с ACL, NSG всегда предпочтительнее для лучшего контроля и управляемости. Обычно мы говорим о нескольких виртуальных машинах, представьте, если бы вам приходилось постоянно добавлять / удалять правила ACL. В NSG вы можете определить правила для входящего и исходящего трафика для одной виртуальной машины, группы или даже для всей подсети.

Если вам нужно управлять только парой виртуальных машин, просто используйте ACL. По умолчанию ACL разрешает 0.0.0.0 для открытой конечной точки. Как только вы добавите запись в список, она станет белым списком, поэтому вы можете добавить IP-адрес своего сервера приложения, чтобы он мог подключаться только к вашей базе данных.

Ссылки :

Обзор зарезервированного IP-адреса

Как установить статический внутренний частный IP-адрес

Что такое список управления доступом конечных точек (ACL)?

Что такое группа безопасности сети (NSG) )?

1
ответ дан 4 December 2019 в 12:25

Теги

Похожие вопросы