У меня есть подписка Azure с двумя разными группами ресурсов: Test
и Prod
. Каждая группа ресурсов имеет виртуальную сеть с несколькими виртуальными машинами в ней.
В Prod
есть виртуальная машина, которая действует как сервер лицензий, а службы - в Test
и ] Prod
должен иметь к нему доступ. Назовем его LICENSE-VM
.
+------------------------------+ +-------------------------------------+
| Test Resource Group | | Prod Resource Group |
| | | |
| +----------------------+ | | +-----------------------------+ |
| | Test VNET | | | | Prod VNET | |
| | | | | | | |
| | +----+ +----+ | | | | +----------+ +----+ | |
| | |VM-1| |VM-2| +----------------------> |LICENSE-VM| <--+VM-3| | |
| | +----+ +----+ | | | | +----------+ +----+ | |
| | | | | | | |
| +----------------------+ | | +-----------------------------+ |
| | | |
+------------------------------+ +-------------------------------------+
Конечно, это не проблема в Prod
VNET, но я m изо всех сил пытается найти безопасный способ разрешить связь с LICENSE-VM
из Test
.
LICENSE-VM
, и используя NSG (Network Security Group), присоединенную к NIC, чтобы заблокировать ее, но если я использую правило IP источника, которое указывает диапазон CIDR TEST
VNET, это не работает (может ' t connect) Есть идеи, как я могу заблокировать общедоступный IP-адрес, чтобы VNET в другой группе ресурсов мог получить к нему доступ? В качестве альтернативы, есть ли другой способ подойти к этому?
Мне кажется, что это довольно распространенный сценарий, и мне не хватает чего-то очевидного!
Я читал эту проблему пару раз, но все еще не на 100% уверен в том, что вы пытаетесь сделать. Насколько я понимаю, вы пытаетесь подключить 2 виртуальные сети, но защищенные лицензии - виртуальную машину.
В целях безопасности, когда вы говорите о связи между пирингом 2 виртуальных сетей или VPN, являются единственными вариантами. И я думаю, что это должно решить вашу проблему.
Если вы хотите большей безопасности, вы можете переопределить правила по умолчанию в NIC NSG, которые разрешают всю связь в виртуальной сети, и создать правило для открытия открытых портов, необходимых для связи по лицензии.
Надеюсь, это поможет.
Вы можете заблокировать трафик с помощью групп безопасности сети, но исходным адресом трафика будут не частные IP-адреса вашей VMS в «Test VNET», а общедоступные IP-адреса. виртуальных машин в «Test VNET».
Убедитесь, что вы преобразовали общедоступные IP-адреса вашей виртуальной машины в статические , чтобы у вас не было никаких сюрпризов в будущем.
В качестве альтернативы вы можете установить пиринг виртуальной сети, а затем, да, заблокировать трафик с помощью частных IP-адресов.