Виртуальная сеть Azure сомневается
Я хотел бы настроить виртуальную сеть в Microsoft Azure, но у меня есть некоторые сомнения по этому поводу.
Могу ли я связать виртуальную машину в другой учетной записи Azure с моим VN? Можно ли перенаправить весь трафик на виртуальную машину с IDS (snort), а затем на фактическую виртуальную машину, обслуживающую контент? Стоит ли (по соображениям безопасности) использовать виртуальную сеть поверх простой виртуальной машины, подключенной к Интернету?
2 ответа
Виртуальные сети не охватывают подписки Azure. Вы должны иметь все свои виртуальные машины в одной подписке, чтобы они могли использовать виртуальную сеть. Вы можете соединить VN между регионами и между развертываниями. Только не за границей подписки (например, граница биллинга).
Только вы можете решить, использовать ли VN против прямого подключения через Интернет. Однако, как только вы зайдете в Интернет, вам нужно заняться:
- Разрешенный / запрещенный трафик (это можно обработать с помощью списков контроля доступа Azure)
- Безопасные данные (например, https / ssl)
- Доступ к портам на виртуальную машину (при классическом развертывании виртуальных машин вы можете открыть только 150 портов на развертывание)
С новыми машинами v2 / Resource Manager невозможно иметь машину, которой нет в виртуальной сети.
Вы можете установить таблицу маршрутизации для виртуальной сети, которая будет направлять весь трафик в конкретную виртуальную машину. Это может быть ящик для фырканья.
Вы, конечно, могли бы настроить окно фырканья, чтобы оно было (набором) внешнего прокси-сервера и позволяло ему анализировать трафик по мере его направления и балансировать нагрузку.
Стоит ли оно того - вопрос для вас, считаете ли вы, что ваше приложение подвергается достаточному риску, чтобы оправдать дополнительную работу / стоимость.
Что касается связывания машины с другого аккаунта? Вы имеете в виду наличие машины из разных подписок в одной и той же виртуальной сети? нет, ты не можешь Что вы можете сделать, хотя это создать VPN-канал между ними и иметь их в аналогичном диапазоне IP.