Могу ли я перенаправить весь трафик на мои виртуальные машины через свой Jumpbox?
Я создаю сеть виртуальных машин в Azure, 1 группу виртуальных машин для webtier и 1 группу виртуальных машин для уровня данных / sql. Я создам виртуальную машину jumpbox, которая обеспечивает доступ для целей DevOps через VPN.
Теперь я прочитал, что у меня должно быть минимальное программное обеспечение и параметры подключения к моей реальной виртуальной машине, поскольку она должна работать через jumpbox, чтобы минимизировать поверхность атаки моей ВМ и иметь центральную точку доступа.
Теперь я хочу сделать 2 вещи:
Подключиться через удаленный рабочий стол ко всем моим виртуальным машинам, я решил, что могу просто создать VPN-соединение RDP со своим jumpbox, а после входа в свой jumpbox просто открыть другое окно RDP, чтобы другие мои виртуальные машины, использующие внутренний IP-адрес виртуальной сети.
Доступ к моему экземпляру MSSQL 2016 (с балансировкой нагрузки и набором доступности) напрямую через SQL Server Management Studio или приложение, используя строку подключения. Экземпляр MSSQL находится на моей виртуальной машине уровня sql, а не на моем jumpbox, Могу ли я каким-то образом перенаправить трафик SQL с моего jumpbox на мою виртуальную машину уровня sql? Я предполагаю, что прямой доступ к виртуальной машине уровня sql идет вразрез с самой идеей наличия jumpbox.
Примечания: - запуск MS SQL Server 2016 на Windows Server 2016
ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਰਾਹੀਂ ਮੇਰੇ ਸਾਰੇ ਵੀ ਐਮ ਨਾਲ ਜੁੜੋ, ਮੈਂ ਸੋਚਿਆ ਕਿ ਮੈਂ ਸਧਾਰਣ ਕਰ ਸਕਦਾ ਹਾਂ ਮੇਰੇ ਜੰਪਬੌਕਸ ਤੇ ਇੱਕ VPN RDP ਕਨੈਕਸ਼ਨ ਬਣਾਓ, ਅਤੇ ਜਦੋਂ ਮੇਰੇ ਵਿੱਚ ਲੌਗ ਇਨ ਕਰੋ ਜੰਪਬੌਕਸ, ਬਸ ਮੇਰੇ ਦੂਜੇ ਵੀ ਐਮ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਕ ਹੋਰ ਆਰਡੀਪੀ ਵਿੰਡੋ ਖੋਲ੍ਹੋ ਅੰਦਰੂਨੀ ਵੀ-ਨੈਟਵਰਕ ਆਈਪੀ.
ਹਾਂ, ਅਸੀਂ ਇੱਕ VM ਕੰਮ ਨੂੰ ਇੱਕ ਜੰਪ ਬਾੱਕਸ ਦੇ ਤੌਰ ਤੇ ਤੈਨਾਤ ਕਰ ਸਕਦੇ ਹਾਂ.
ਐਕਸੈਸ ਮੇਰੇ (ਲੋਡਬਲੇਂਸਡ ਡਬਲਯੂ / ਉਪਲਬਧਤਾ ਸੈੱਟ) ਐਮਐਸਐਸਕਿ 2016ਲ 2016 ਇਨਸਟੈਂਸ ਸਿੱਧੇ SQL ਸਰਵਰ ਪ੍ਰਬੰਧਨ ਸਟੂਡੀਓ ਦੁਆਰਾ ਜਾਂ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕੁਨੈਕਸ਼ਨ ਸਤਰ. ਐਮਐਸਐਸਐਸਐਲ ਉਦਾਹਰਣ ਮੇਰੇ ਸਕੇਲ-ਟੀਅਰ ਵੀਐਮ 'ਤੇ ਰਹਿੰਦੀ ਹੈ, ਚਾਲੂ ਨਹੀਂ ਮੇਰਾ ਜੰਪਬੌਕਸ, ਕੀ ਮੈਂ ਆਪਣੇ ਜੰਪਬੌਕਸ ਤੋਂ ਐਸਕੁਏਲ ਟ੍ਰੈਫਿਕ ਨੂੰ ਅੱਗੇ ਭੇਜ ਸਕਦਾ ਹਾਂ sql-tier VM? ਮੈਂ ਅੰਦਾਜ਼ਾ ਲਗਾਵਾਂਗਾ ਕਿ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸਕੇਲ-ਟਾਇਰ VM ਤੱਕ ਪਹੁੰਚਣਾ ਜੰਪਬੌਕਸ ਰੱਖਣ ਦੇ ਪੂਰੇ ਵਿਚਾਰ ਦੇ ਵਿਰੁੱਧ ਜਾਂਦਾ ਹੈ.
ਅਸੀਂ ਜੰਪ ਬਾਕਸ 'ਤੇ ਆਰਆਰਐਸ (ਵੀਪੀਐਨ) ਨੂੰ ਲਗਾ ਸਕਦੇ ਹਾਂ, ਇਹ ਇਕ ਪੀ 2 ਐਸ ਵੀਪੀਐਨ ਸਰਵਰ ਦਾ ਕੰਮ ਕਰਦਾ ਹੈ, ਜਦੋਂ ਤੁਸੀਂ ਆਰ ਆਰ ਏ ਐਸ ਸਰਵਰ ਨਾਲ ਜੁੜ ਸਕਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਸਿੱਧੇ ਅਜ਼ੂਰ ਵੀ ਐਮ ਨਾਲ ਜੁੜ ਸਕੋਗੇ . ਅਸੀਂ ਆਰਆਰਏਐਸ ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਲਈ ਵਿੰਡੋਜ਼ ਕਲਾਇੰਟ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਾਂ, ਨਾਲ ਹੀ ਅਸੀਂ ਲੀਨਕਸ ਉੱਤੇ ਐਸ ਐਸ ਟੀ ਪੀ-ਕਲਾਇੰਟ ਸਥਾਪਤ ਕਰ ਸਕਦੇ ਹਾਂ, ਫਿਰ ਅਸੀਂ ਆਰ ਆਰ ਏ ਐਸ ਸਰਵਰ ਨਾਲ ਜੁੜਨ ਲਈ ਲੀਨਕਸ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਾਂ. ਲਿੰਕ .
Есть много способов сделать это, на этот вопрос нет прямого ответа, не зная о потребностях вашего бизнеса, я настоятельно рекомендую прочитать это и принять решение самостоятельно: https: // docs.microsoft.com/en-us/azure/best-practices-network-security?toc=%2fazure%2fvirtual-network%2ftoc.json
Jumpbox не будет самым безопасным дизайном, когда он поставляется с Azure, поскольку есть бесплатные инструменты, которые можно использовать, они дешевле и удобнее, чем jumpbox.
Я бы не стал открывать SQL для Интернета любой ценой, если только у вас нет для этого веского экономического обоснования,затем используйте группу безопасности сети с ACL, чтобы разрешить доступ к ней только с определенных IP-адресов.
Для многоуровневого развертывания я бы рекомендовал следующее:
- Создайте одну группу ресурсов для размещения среды.
- Создайте виртуальную сеть с тремя подсетями: одна для внешнего интерфейса, вторая для серверной части, третья для VPN.
- Создайте две группы безопасности сети (NSG) и свяжите их с внешней и внутренней подсетями.
- Для внешней группы безопасности сети разрешите только HTTP / HTTPS.
- Для внутренней группы безопасности сети отключите все виды доступа из Интернета, даже для RDP и SQL, и разрешите доступ только из внешней подсети.
- Включите VPN на уровне подсети и настройте соединение «сеть-сеть» с рабочим местом или «точка-сеть» и разрешите это только для определенных людей, которым вы доверяете.
Это гораздо лучший сценарий развертывания, вот хорошее резюме того, как он должен выглядеть:
Ссылки :
Группы сетевой безопасности: https://docs.microsoft.com/ en-us / azure / virtual-network / virtual-network-manage-nsg-arm-portal
Azure Site-to-Site VPN: https://docs.microsoft.com/en-us/azure /vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal?toc=%2fazure%2fvirtual-network%2ftoc.json[12124estiveAzure Point-to-Site VPN: https : //docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal
Списки контроля доступа: https: // docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-acl-powershell