编辑:这个问题最初是在遗留 ASM 时代提出的。事情有很大不同,网络安全组的引入使得在现代 Azure 环境中实现这一点变得微不足道。
我有一个在 Azure VM 中运行的三层应用程序。
此应用程序有两个后端层和一个 Web 层。这分为三个云服务 - 每层一个。
两个后端层使用 Azure 内部负载平衡。
Web 层只需要在端口 443 上与后端通信。
是否可以创建第二个 VNet 并为前端服务器使用 VNet 到 VNet 连接并在其上放置 ACL,使其只能与 443 以上的后端服务器通信?如果是这样,我在哪里配置此 ACL?在任何情况下,后端服务器都不应直接暴露在 Internet 上。
编辑:
这是不可能的。请参阅:目前,您只能为端点指定网络 ACL。您不能为虚拟网络或虚拟网络中包含的特定子网指定 ACL。此外,虚拟网络安全白皮书可能会有用。
看看这里
基本上,是的,您可以将前端服务器放在一个 vnet 中,将后端服务器放在另一个 vnet 中,然后使用 ACL 限制对后端的访问。
如果后端服务器位于同一个 VNet 中,则不能使用 ACL 限制它们之间的通信。为此,您需要 Windows 防火墙或其他措施。
要进行此配置,一旦您在 VNet 中拥有后端服务器,请使用后端服务器的“端点”配置并添加您的
HTTPS/443端点。然后,仍然在此端点上,单击MANAGE ACL底部的“ ”。现在,允许您的前端网络或/32IP 地址以及DENY其他所有内容 (0.0.0.0/0)有关详细信息,请参阅指南
是的,看看这个:
这是一个使用 HUB 和辐条方法的 DMZ。
https://mouradcloud.westeurope.cloudapp.azure.com/blog/blog/2018/07/19/build-azure-hub-and-spoke-using-pfsense-nva-udr-vnet-peering-and-vpn-在本地路由器/
现在,如果您想要没有 DMZ 的纯 3 层,请参见:
https://github.com/MourIdri/azureiaascodev1