问题:Microsoft Azure 服务器似乎使用客户拥有的公共 IP 地址?
我的公司正在将本地虚拟机迁移到 Azure 云。我们的一些服务器使用静态公共 IPv4 地址(来自我们的 IP 范围)。在 Azure 中,我了解到它们将从 Microsoft 范围重新分配公共 IP。
问题是许多合作伙伴将我们的 IP 列入防火墙白名单。如果这些 IP 发生变化,我们的集成可能会中断。
相反,Azure 服务器是否可以使用原始 IP 路由连接?
编辑: AWS 似乎提供了这个。Azure 有类似的功能吗?
为了入站连接,广告原始 IPv4 地址并将连接转发到 Azure 负载均衡器是否可行?出站连接——Azure VM 的出站流量是否可以路由,以便似乎源自非 Azure IP?
答案1
您无法将自己的公共 IP 带入 Azure,一种解决方法是通过 VPN 或 Expressroute 路由所有流量。
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-forced-tunneling-rm
强制隧道允许您通过站点到站点 VPN 隧道将所有 Internet 绑定流量重定向或“强制”回您的本地位置,以便进行检查和审核。这是大多数企业 IT 政策的关键安全要求。如果没有强制隧道,来自 Azure 中 VM 的 Internet 绑定流量始终会从 Azure 网络基础结构直接传到 Internet,而无法让您检查或审核流量。未经授权的 Internet 访问可能会导致信息泄露或其他类型的安全漏洞。
在这种情况下,所有入站和出站流量仍将使用您当前的内部部署基础设施。
如果您可以让您的合作伙伴将新的 IP 列入白名单,那么您可以分配一系列公共 IP,这些 IP 在 Azure 中“属于”您并且永远不会改变。
https://azure.microsoft.com/en-us/updates/preview-public-ip-prefix/
公共 IP 前缀是可分配给订阅的静态 IP 地址的保留范围。可以使用前缀简化 Azure 中的 IP 地址管理。提前了解范围可消除在将 IP 地址分配给新资源时更改防火墙规则的需要。这种可预测性可显著减少在 Azure 中扩展时的管理开销。