Включение обмена данными между виртуальными сетями Azure
У меня есть подписка Azure с двумя разными группами ресурсов: Test и Prod . Каждая группа ресурсов имеет виртуальную сеть с несколькими виртуальными машинами в ней.
В Prod есть виртуальная машина, которая действует как сервер лицензий, а службы - в Test и ] Prod должен иметь к нему доступ. Назовем его LICENSE-VM .
+------------------------------+ +-------------------------------------+
| Test Resource Group | | Prod Resource Group |
| | | |
| +----------------------+ | | +-----------------------------+ |
| | Test VNET | | | | Prod VNET | |
| | | | | | | |
| | +----+ +----+ | | | | +----------+ +----+ | |
| | |VM-1| |VM-2| +----------------------> |LICENSE-VM| <--+VM-3| | |
| | +----+ +----+ | | | | +----------+ +----+ | |
| | | | | | | |
| +----------------------+ | | +-----------------------------+ |
| | | |
+------------------------------+ +-------------------------------------+
Конечно, это не проблема в Prod VNET, но я m изо всех сил пытается найти безопасный способ разрешить связь с LICENSE-VM из Test .
- Я подумал о добавлении общедоступного IP-адреса в
LICENSE-VM, и используя NSG (Network Security Group), присоединенную к NIC, чтобы заблокировать ее, но если я использую правило IP источника, которое указывает диапазон CIDRTESTVNET, это не работает (может ' t connect) - Затем я подумал о добавлении общедоступного балансировщика нагрузки, но он, похоже, имеет ту же проблему, что и (1), в том, что я не могу привязать его к VNET в другой группе ресурсов
- Мы может настроить пиринг VNET, но это кажется излишним, когда нам нужен доступ только к одному порту на одной виртуальной машине. Я' m также не уверены, можем ли мы заблокировать это с помощью групп сетевой безопасности?
Есть идеи, как я могу заблокировать общедоступный IP-адрес, чтобы VNET в другой группе ресурсов мог получить к нему доступ? В качестве альтернативы, есть ли другой способ подойти к этому?
Мне кажется, что это довольно распространенный сценарий, и мне не хватает чего-то очевидного!
Я читал эту проблему пару раз, но все еще не на 100% уверен в том, что вы пытаетесь сделать. Насколько я понимаю, вы пытаетесь подключить 2 виртуальные сети, но защищенные лицензии - виртуальную машину.
В целях безопасности, когда вы говорите о связи между пирингом 2 виртуальных сетей или VPN, являются единственными вариантами. И я думаю, что это должно решить вашу проблему.
Если вы хотите большей безопасности, вы можете переопределить правила по умолчанию в NIC NSG, которые разрешают всю связь в виртуальной сети, и создать правило для открытия открытых портов, необходимых для связи по лицензии.
Надеюсь, это поможет.
Вы можете заблокировать трафик с помощью групп безопасности сети, но исходным адресом трафика будут не частные IP-адреса вашей VMS в «Test VNET», а общедоступные IP-адреса. виртуальных машин в «Test VNET».
Убедитесь, что вы преобразовали общедоступные IP-адреса вашей виртуальной машины в статические , чтобы у вас не было никаких сюрпризов в будущем.
В качестве альтернативы вы можете установить пиринг виртуальной сети, а затем, да, заблокировать трафик с помощью частных IP-адресов.