我想在 Microsoft Azure 中建立一个虚拟网络,但对此有一些疑问。
我可以将另一个 Azure 帐户中的虚拟机链接到我的 VN 吗?是否可以将所有流量转发到具有 IDS(snort)的 VM,然后再转发到提供内容的实际 VM?出于安全原因,使用 VN 而不是连接到互联网的简单 VM 是否值得?
答案1
虚拟网络不跨 Azure 订阅。您必须将所有 VM 放在同一个订阅中,以便它们共享虚拟网络。您能跨区域、跨部署桥接 VN。但不要超出订阅边界(例如计费边界)。
只有您可以决定是否使用 VN 或通过互联网直接连接。但是,一旦您通过互联网连接,您需要关注以下事项:
- 允许/拒绝流量(可以使用 Azure 的访问控制列表来处理)
- 安全数据(例如 https/ssl)
- 每个虚拟机的端口访问(使用经典虚拟机部署,每个部署只能打开 150 个端口)
答案2
使用新的 v2/资源管理器机器,不可能拥有不在 VNet 中的机器。
您可以设置 VNet 的路由表,将所有流量馈送到特定的 VM。这可能是一个 snort 盒。
您当然可以将 snort 盒设置为一个(一组)前端代理,并让它在引导和负载平衡时嗅探流量。
不过,这是否值得还是一个问题,你是否认为你的应用程序有足够的风险来保证额外的工作/成本。
至于从另一个帐户链接一台机器?你的意思是在同一个 VNet 中拥有来自不同订阅的机器吗?不,你不能。不过,你可以做的是在它们之间创建一个 VPN 链接,并让它们处于相似的 IP 范围内。