我在 Azure(IaaS)上运行 Linux VM,它为 Internet 提供 SFTP 服务。
我正在通过不同公共 IP 地址上的防火墙将此服务迁移回内部部署。
遗憾的是,许多客户都是通过公共 IP 地址(而不是 FQDN)连接到此服务。
我想将流量重定向到本地防火墙。
是否存在这样的 Azure 服务/资源:可以将入站连接设为 1.1.1.1,然后将目标 IP NAT 为 2.2.2.2,然后将源 IP NAT 为 1.1.1.1 或该服务/资源上的其他公共 IP(如 3.3.3.3)?
谢谢!
我在 Azure 中配置了默认 10.0.0.0/16 ip 范围的 VNet。
我将我的 Azure SQL 数据库配置为允许来自 VNet 的连接。
我现在想将我的本地开发电脑连接到 VNet,因此我向 VNet 添加了一个网关,默认子网为 10.0.1.0/24,然后在地址池 10.2 的网关上配置了一个点到站点连接。 0.0/16。
(以上设置可能非常错误(?)-我对网络了解不多,所以只使用可用的默认设置,所以我愿意接受关于如何更好地完成上述操作的指南)
我下载了 VPN 客户端设置,并配置了我的 Azure VPN 客户端,它连接到网关并获得 IP 地址 10.2.0.2。
然后我尝试连接到 Azure SQL 数据库(使用 Microsoft SQL Server Mngt Studio),然后我收到一个弹出窗口,提示我的 IP 地址不允许连接。但是,它显示的 IP 地址是我的路由器连接到互联网的静态 IP 地址。
如何在 SSMS 中获取此连接以使用我的 Azure VPN 客户端所连接的 10.2.0.2 地址进行连接?
我有一个带有 2 个端点(主要和次要)的 cisco ISR on-prem,我想通过一个连接将我的 Azure VPN 网关连接到两个端点(两个 IP 的本地地址空间相同)。
创建 Azure本地网络网关时,我只能输入 1 个公共 IP 地址,而不是 2 个。有没有办法从 Azure VPN 网关连接 2 个 IP?
谢谢
我有一个包含大量设备的内部网络,并且在来自互联网的入口点有防火墙。
是否可以从我有工具的云服务器(例如:Nessus)扫描整个内部网络?(无需安装任何客户端软件)
或者如果可能的话用openvpn?
假设我有一个 Azure SQL 数据库弹性池,我正在通过防火墙规则从 Azure Web 应用程序访问它,并且一切正常。
现在假设我想向 Azure SQL 数据库弹性池添加一个新的专用终结点。这不会阻止通过现有防火墙规则访问/访问新创建的私有端点之外的访问 - 对吗?
换句话说,添加私有端点并不是说现在应该通过私有端点进行独占访问,而是说私有端点是可访问的,并且现有的访问通道也仍然可以访问 - 对吗?
我正在尝试使用 Bicep/ARM 为我的 AKS 服务器配置负载均衡器。我在 kubernetes 中使用 NGinx 入口控制器,它似乎确实可以工作,但是当我第一次启动时,我遇到了一个错误。
主要是我想知道 Azure 文档中此步骤的等效 ARM 或 Bicep 模板是什么?
https://docs.microsoft.com/en-us/azure/aks/static-ip#create-a-service-using-the-static-ip-address
az role assignment create \
--assignee <Client ID> \
--role "Network Contributor" \
--scope /subscriptions/<subscription id>/resourceGroups/<resource group name>
我正在使用 Bicep 并创建了我的 AKS 服务器,例如:
resource ExampleKubernetes 'Microsoft.ContainerService/managedClusters@2021-07-01' = {
// ...
}
然后我向 kubelet 身份添加角色分配,如下所示:
var NetworkContibutor = '4d97b98b-1d4f-4787-a291-c67834d212e7'
resource AssignNetworkContributorToKubelet 'Microsoft.Authorization/roleAssignments@2020-08-01-preview' = {
name: guid(resourceGroup().id, ExampleKubernetes.id, NetworkContibutor)
dependsOn: [
ExampleKubernetes
]
properties: {
roleDefinitionId: subscriptionResourceId('Microsoft.Authorization/roleDefinitions', NetworkContibutor)
principalType: 'ServicePrincipal'
principalId: ExampleKubernetes.properties.identityProfile.kubeletidentity.objectId
}
}
这似乎可行,我可以在仪表板中看到分配给托管主体的角色......但是 kubernetes 中的服务似乎仍然失败,并且仍然存在权限问题:
Error syncing load balancer: failed to ensure load balancer: Retriable: false,
RetryAfter: 0s, HTTPStatusCode: 403, RawError: Retriable: false, RetryAfter:
0s, HTTPStatusCode: 403, RawError:
{"error":{"code":"AuthorizationFailed","message":"The client
'<some guid A>' with object id
'<some buid A>' does not have authorization to perform
action 'Microsoft.Network/publicIPAddresses/read' over scope
'/subscriptions/<subid>/resourceGroups/example/providers/Microsoft.Network/publicIPAddresses/example'
or the scope is invalid. If access was recently granted, please refresh your
credentials."}}
奇怪的是,后来在某些时候它似乎只是神奇地工作。该错误显示“retriable false”,并且该服务似乎没有重试,但随后将 NGinx 部署到 kubernetes 将导致它重试并突然繁荣其工作。
似乎错误消息告诉我角色传播存在一些不确定的延迟......所以我的问题是:
VNET 对等互连:
一旦虚拟网络建立对等关系,两个虚拟网络中的资源就可以相互通信,具有相同的延迟和带宽,就好像资源在同一个虚拟网络中一样。
所以,有了这张图:
我看到 VNETs Virtual Network、VNET1、VNET2 和 On-premise 都可以访问 SQL 数据库。
然后:
设想
问题:
看下面:
在这里,我们看到一个 AZURE 公司帐户 X。请参阅“azsql1.database.windows.net”。您可以从本地访问它。
如果为了争论,我有第二个 AZURE 环境怎么办。配置完全相同 - AZURE 公司帐户 Y,带有“azsql1.database.windows.net”。
这是理论上的,但我想知道如果有人尝试使用“azsql1.database.windows.net”在 Tableau、Spotfire 中的连接报告中使用“azsql1.database.windows.net”来解决这个问题?
我认为您需要以某种方式告诉在哪个 AZURE 公司帐户中使用哪个 DNS 转发器。
所以,请原谅我,但我了解 Internet bla bla bla 的基本 DNS 解析内容,但不是网络专家。