是否可以创建某种 VLAN 或私有 Azure LAN,我可以将任何新的 Worker 或 VM 放入该 VLAN 中?
其中一个原因是因为我希望在虚拟机上创建一个 SQL 服务器(很好,这很简单),然后添加以下防火墙规则
=> 阻止除
a) 我的工作静态 IP 之外的所有内容。(简单)
b) 我的家庭静态 IP。(简单)
c) 这个私有 Azure LAN 的 VLAN(不知道)
这里的想法是,我只希望我的工作人员(和我们的网站)作为我们 Azure 订阅的一部分,成为唯一可以访问 sql 服务器 + 其他 2 个“特殊”ip 的地方。
当然,有人可以闯入其他虚拟机之一,然后“访问”sql-server-vm..我明白......但这只是强化我们服务器的一部分。
这能做到吗?
答案1
虚拟网络
您可以使用虚拟网络将 VLAN 引入 Windows Azure;Azure 支持第 3 层覆盖。这些虚拟网络使用的 IP 范围在 RFC1918 中定义:
IP 范围
10.0.0.0 - 10.255.255.255 (10/8 prefix),
172.16.0.0 - 172.31.255.255 (172.16/12 prefix),
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
因此,如果您指定某个虚拟网络作为新工作者和虚拟机的组,则只需为虚拟网络所属的范围添加防火墙规则即可。
答案2
添加到哈利·伯努瓦的答案 - 在 Azure 上创建虚拟网络后,为了在其上部署工作角色(和 Web 角色),您需要在其服务配置文件中指定要部署它们的网络和子网 -
<ServiceConfiguration serviceName="WindowsAzure1" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceConfiguration" osFamily="1" osVersion="*" schemaVersion="2012-05.1.7">
<Role name="WebRole1">
<Instances count="1" />
.
.
</Role>
<NetworkConfiguration>
<VirtualNetworkSite name="mix-n-match" />
<AddressAssignments>
<InstanceAddress roleName="WebRole1">
<Subnets>
<Subnet name="FrontEnd" />
</Subnets>
</InstanceAddress>
</AddressAssignments>
</NetworkConfiguration>
</ServiceConfiguration>
我曾写过关于在 Azure 上混合 IaaS 和 PaaS 的文章这里