假设我在 Azure 上创建了一个 Linux VM 实例(我们称之为 A1)。要从我公司的网络访问此实例,我必须要求 IT 团队允许从我公司的机器(我们称之为 C1)到 A1 的某个端口(例如 SSH 的 22)的出站流量。由于我公司的层级结构很长,IT 团队通常需要 3-5 个工作日来重新配置防火墙以允许此流量。
目前,我的团队正在开发一些 PoC,这可能需要我们访问许多实例(数量尚未确定),并且还要访问这些实例的不同端口。要求 IT 团队允许访问所有这些实例,然后为每个实例等待 3-5 天,这确实会降低我们的生产率,因此我决定在 Azure 上创建某种通用网关,我会要求 IT 团队提供访问权限,然后它会将我的流量转发到适当的实例。
由于我没有太多创建此类网络的经验,我想请教这里的专家正确的做法。在这种情况下,行业惯例是什么?
答案1
我建议在 Azure 中创建一个虚拟网络网关,并使用点到站点 VPN 连接到 Azure 虚拟网络。您可以做的另一件事是将现有的 Linux 服务器用作跳转箱。连接到它并进一步连接或转发端口。
阅读:
https://docs.microsoft.com/en-us/azure/vpn-gateway/point-to-site-about
https://www.ssh.com/ssh/tunneling/example
答案2
虚拟网络网关和 VPN 是最佳选择。它允许您仅使用一条或少量规则轻松扩展到数十或数百台 Azure 计算机。
你真的应该不是考虑通过 A1 盒进行任何类型的端口转发,至少在未经明确许可的情况下。根据您的业务使用政策的制定方式,这可能是终止的理由。
与网络团队合作可能会很慢,但这很重要,特别是因为这确实涉及到网络变更。