Виртуальная сеть Azure сомневается
Я хотел бы создать виртуальную сеть в Microsoft Azure, но у меня есть некоторые сомнения по этому поводу.
Могу ли я связать виртуальную машину в другой учетной записи Azure с моей ВН? Можно ли перенаправить весь трафик на виртуальную машину с IDS (snort), а затем на виртуальную машину, обслуживающую контент? Стоит ли (из соображений безопасности) использовать виртуальную сеть вместо простой виртуальной машины, подключенной к Интернету?
Виртуальные сети не охватывают подписки Azure. У вас должны быть все ваши виртуальные машины в одной подписке, чтобы они могли совместно использовать виртуальную сеть. Вы можете соединить виртуальные сети между регионами и развертываниями. Только не за границу подписки (например, за границу выставления счетов).
Только вы можете решить, использовать ли виртуальную сеть или прямое соединение через Интернет. Однако после выхода в Интернет вам нужно будет позаботиться о:
- Разрешенном / запрещенном трафике (это можно обработать с помощью списков контроля доступа Azure)
- Защищенных данных (например, https / ssl)
- Доступ к портам для каждой виртуальной машины (при классическом развертывании виртуальной машины вы можете открывать только 150 портов на развертывание)
С новыми машинами v2 / Resource Manager невозможно иметь машину, которая не находится в виртуальной сети.
Вы можете настроить таблицу маршрутизации для виртуальной сети, чтобы весь трафик направлялся на конкретную виртуальную машину. Это может быть ящик для нюхания.
Вы, конечно, можете настроить snort box в качестве (набора) прокси-сервера переднего плана и позволить ему отслеживать трафик по мере его направления и балансировки нагрузки.
Стоит ли оно того, это вопрос к вам, считаете ли вы, что ваше приложение подвергается достаточному риску, чтобы гарантировать дополнительную работу / расходы.
Что касается привязки машины к другой учетной записи? Вы имеете в виду наличие машины из разных подписок в одной виртуальной сети? нет, ты не можешь. Что вы можете сделать, так это создать между ними VPN-соединение и разместить их в одном и том же диапазоне IP-адресов.