我有多个虚拟网络、一个带有站点到站点 VPN 的 VPN VN、一个 AADDS VN、一个 VN 上的虚拟机生产网站集群和一个 VN 上的虚拟机测试网站集群。我还有一系列的应用服务。
有人建议我添加一个虚拟机防火墙,这让我有点难过。
我在每个集群的 Web 服务器和 VPN 上都有一个公共 IP。
基于虚拟机的防火墙 (WatchGuard FireBox) 仅允许在不受信任端使用单个 NIC。
我可以使用应用程序网关将流量从单个 IP 路由到每个网站(生产、测试和应用程序服务),并使用跳转盒到 RDP 到每个 VM(跨测试/生产总共 6 个),这将允许我使用端口这个单一的 NIC 将流量路由到其目的地。这并不理想。
如何使用防火墙拦截所有外部流量并仍然使用 azure 访问多个 IP?跳箱和应用程序网关是唯一的方法吗?
老实说有点困惑。所有输入表示赞赏。
我对 Watchguard 不太熟悉,但是假设它只支持单个 NIC,如您所说,那么首先您需要能够根据路径或 url 将流量路由到您的 Web 应用程序。如果 FW 不支持这一点,那么是的,您需要在防火墙之后处理该路由。应用程序网关是使用 Azure 执行此操作的一种方法,并且可能是最简单的方法。您还可以查看任何其他反向代理,例如 Nginx 等。
就能够 RDP 到您的 VM 而言,我希望完全避免将其暴露给 Internet 和 FW。我建议使用 Azure Bastion,它有效地提供了一个跳转框作为服务,然后你可以使用它来访问你的所有 VM。