我目前在 Microsoft Azure 中托管多个生产项目。每个项目都配置了一个单独的虚拟网络,其中两个 Windows VM 用作 Web 服务器,一个服务器用作域控制器。安全性在所有环境中都至关重要,因此我将它们完全隔离。
我将创建一个额外的虚拟网络作为管理区域,并使用站点到站点 VPN 隧道将此网络相互连接。我的目标是使用此管理网络作为集中式 WSUS 管理、端点安全管理、GPO 配置等的基础。
这样设计是否明智/安全?我考虑在管理网络中建立一个带有 TLD 的 Active Directory 林,并将每个项目网络作为同一林中的子域。
当我尝试规划最佳配置时,任何建议和意见都将不胜感激。请记住,重新配置当前项目网络以适应此新模型对我来说不是问题。
答案1
我的四大客户的做法是,在每个客户端 NSG 中创建规则,让它们与特定的管理服务器(或多个服务器)通信,以进行监控、警报、防病毒、更新等。每个 NSG 仅允许特定 IP 地址与每个 VM 与“管理”服务器通信所需的特定端口进行通信。因此,没有集中式网络、凭据、AD 或其他任何东西。任何客户端都不能与任何其他客户端通信,只能与管理服务器通信,并且没有将任何客户端连接到任何其他客户端的“管理”网络。
至于您关于为每个客户端创建单独的 VPN 连接/网络的评论,我认为这也可以起作用,只要它们都是独立且隔离的 VPN 连接/网络。