Включить связь между виртуальными сетями Azure

Question

Включить связь между виртуальными сетями Azure

У меня есть подписка Azure с 2 различными группами ресурсов, Test а также Prod, В каждой группе ресурсов есть VNET с кучей виртуальных машин.

Есть ВМ в Prod который выступает в качестве сервера лицензий и услуг в обоих Test а также Prod нужно иметь возможность получить к нему доступ. Давайте назовем это LICENSE-VM,

+------------------------------+            +-------------------------------------+
|     Test Resource Group      |            |          Prod Resource Group        |
|                              |            |                                     |
|   +----------------------+   |            |   +-----------------------------+   |
|   |       Test VNET      |   |            |   |          Prod VNET          |   |
|   |                      |   |            |   |                             |   |
|   |   +----+    +----+   |   |            |   |   +----------+    +----+    |   |
|   |   |VM-1|    |VM-2|   +----------------------> |LICENSE-VM| <--+VM-3|    |   |
|   |   +----+    +----+   |   |            |   |   +----------+    +----+    |   |
|   |                      |   |            |   |                             |   |
|   +----------------------+   |            |   +-----------------------------+   |
|                              |            |                                     |
+------------------------------+            +-------------------------------------+

Конечно, это не проблема в рамках Prod VNET, но я изо всех сил пытаюсь найти безопасный способ, позволяющий общаться с LICENSE-VM от Test,

Я думал о добавлении публичного IP к LICENSE-VMи использование NSG (Network Security Group), подключенной к NIC, чтобы заблокировать его - но если я использую правило IP-адреса источника, которое определяет диапазон CIDR TEST VNET, он не работает (не может подключиться)
Затем я подумал о добавлении общедоступного балансировщика нагрузки, но, похоже, это та же проблема, что и (1), в том смысле, что я не могу заблокировать его для VNET в другой группе ресурсов.
Мы могли бы настроить пиринг VNET, но это кажется излишним, когда мы хотим получить доступ только к одному порту на одной виртуальной машине. Я также не уверен, что мы можем заблокировать это с помощью групп безопасности сети?

Любая идея, как я могу заблокировать общедоступный IP-адрес так, чтобы VNET в другой группе ресурсов мог получить к нему доступ? В качестве альтернативы, есть ли другой способ, которым я могу подойти к этому?

Я чувствую, что это довольно распространенный сценарий, и я упускаю что-то очевидное!

0

firewall azure load-balancing azure-networking

Источник

Cocowalla 08 ноя '18 в 13:56

2 ответа

Другие вопросы по тегам firewall azure load-balancing azure-networking

Hannel 08 ноя '18 в 23:09 2018-11-08 23:09 · Answer 1 · 2018-11-08 23:09

Я прочитал эту проблему пару раз, все еще не на 100% уверенный в том, что вы пытаетесь сделать. Насколько я понимаю, вы пытаетесь подключить 2 Vnet, но Secure Licenses-VM.

В целях безопасности, когда вы говорите о связи между 2-мя виртуальными сетями или VPN, единственные варианты. И я думаю, что это должно решить вашу проблему.

Если вам нужна дополнительная безопасность, вы можете переопределить правила по умолчанию для NIC NSG, которые разрешают все соединения VNet и создают правило для открытия открытых портов, необходимых для связи по лицензии.

Надеюсь это поможет.

Pedro Perez 02 апр '19 в 16:06 2019-04-02 16:06 · Answer 2 · 2019-04-02 16:06

Вы можете заблокировать трафик, используя NSG, но исходный адрес трафика не будет частным IP-адресом вашей VMS в "Test VNET", это будут публичные IP-адреса виртуальных машин в "Test VNET".

Убедитесь, что вы преобразовали общедоступные IP-адреса вашей виртуальной машины в статические, чтобы не было никаких неожиданностей в будущем.

В качестве альтернативы вы можете сделать пиринг VNet и затем да, заблокировать трафик, используя частные IP-адреса.