首先,我想说我不是系统管理员或网络管理员......我是一名开发人员......话虽如此,让我们来回答这个问题。
我正在进行一些测试(比如一项研究),以查看 Azure 平台是否有用并满足我们的要求。问题是我们的 TMG 一直在阻止一切(SQL Azure、远程桌面等...),而且由于我们必须要求网络管理员不断为数据库地址和其他服务打开例外,再加上我们每天都在打开新服务器,再加上这个人是个十足的混蛋,我想知道是否存在某种“一人统治一切”的 tmg 规则,允许访问所有 Azure 服务...
类似于“允许一切来自/到 *.microsoft.net”
我正在寻找的答案是可以呈现给我的网络管理员的,他只需实施...TKS ALL!!!
答案1
这种情况下用户的标准说法:遗憾的是,TMG 不会使用产品附带的默认 Web 访问规则阻止此类访问。您的管理员阻止的不仅仅是默认配置。因此,您的网络策略是阻止这些网站,我们能为您提供的任何帮助都会违反您的网络策略。
也就是说,您的确切请求,允许所有*.microsoft.[com|net]可以完成的操作,对于知道如何配置 TMG 的管理员来说应该是小菜一碟。如果他们拒绝此请求,那么您要么必须越过他们的心意(这往往会遭到大多数公司政治的反对),要么忍受糟糕的情况。如果您打算越过他/她的心意,一定要用基于此类请求所浪费时间的论据来支持它(工资/薪酬、生产力损失等)。
答案2
即使这不是最好的方法(在我看来,您的网络管理员过于关注保护网络边界的旧方法),您可以要求您的网络管理员允许每个流量到 Microsoft 数据中心 IP 地址。
Microsoft Azure 数据中心 IP 范围在 XML 文件中有详细记录,可在此处下载:http://www.microsoft.com/en-us/download/details.aspx?id=41653
您还可以使用 Microsoft 域名创建规则,但管理起来也很困难(而且据我所知,Microsoft 并没有提供完整和更新的列表):
*.core.windows.net –> Azure 存储
*.cloudapp.net –> 云服务,VM
*.msapproxy.net => Azure AD 应用程序代理
*.trafficmanager.net ==> Azure CDN
*.microsoftonline.com ==> Azure AD 登录
*.windowsazure.com ==> Azure 经典门户
*.azure.com => Azure 新门户和许多其他内容
问候