我有一个包含 2 个不同资源组的 Azure 订阅,Test以及Prod。每个资源组都有一个 VNET,其中包含一堆 VM。
有一个虚拟机Prod充当许可证服务器,并且两者均提供服务Test 和 Prod需要能够访问它。我们称之为LICENSE-VM。
+------------------------------+ +-------------------------------------+
| Test Resource Group | | Prod Resource Group |
| | | |
| +----------------------+ | | +-----------------------------+ |
| | Test VNET | | | | Prod VNET | |
| | | | | | | |
| | +----+ +----+ | | | | +----------+ +----+ | |
| | |VM-1| |VM-2| +----------------------> |LICENSE-VM| <--+VM-3| | |
| | +----+ +----+ | | | | +----------+ +----+ | |
| | | | | | | |
| +----------------------+ | | +-----------------------------+ |
| | | |
+------------------------------+ +-------------------------------------+
当然,这不是ProdVNET 中的问题,但我正在努力寻找一种安全的方式来允许与 进行LICENSE-VM通信Test。
- 我想过添加一个公共 IP
LICENSE-VM,并使用连接到 NIC 的 NSG(网络安全组)将其锁定 - 但是如果我使用指定 VNET 的 CIDR 范围的源 IP 规则TEST,它不起作用(无法连接) - 然后我想到添加一个公共负载均衡器,但这似乎与 (1) 有同样的问题,因为我无法将其锁定到不同资源组中的 VNET
- 我们可以设置 VNET 对等连接,但当我们只想访问单个虚拟机上的单个端口时,这似乎有点过头了。我还不确定我们是否可以使用网络安全组来锁定它?
知道如何锁定公共 IP 以便不同资源组中的 VNET 可以访问它吗?或者,还有其他方法可以解决这个问题吗?
我觉得这肯定是一种比较常见的情况,而我忽略了一些明显的东西!
答案1
我读过这个问题好几次了,但仍然不能 100% 确定您要做什么。我的理解是,您正在尝试连接 2 个 Vnet,但使用安全许可证-VM。
为了安全起见,无论何时谈论 2 个 VNet 对等或 VPN 之间的通信,都是唯一的选择。我认为这应该可以解决您的问题。
如果您想要更高的安全性,您可以覆盖允许所有 VNet 通信的 NIC NSG 上的默认规则,并创建规则以打开许可证通信所需的端口。
希望这可以帮助。
答案2
您可以使用 NSG 锁定流量,但流量的源地址不会是“测试 VNET”中 VMS 的私有 IP 地址,而是“测试 VNET”中 VM 的公有 IP 地址。
确保你将虚拟机的公共 IP 地址转换为静态这样您以后就不会遇到任何意外。
或者,您可以进行 VNet 对等,然后使用私有 IP 地址锁定流量。