我有多个虚拟网络、一个带有站点到站点 VPN 的 VPN VN、一个 AADDS VN、一个 VN 上的虚拟机生产网站集群和一个 VN 上的虚拟机测试网站集群。我还有一系列应用服务。
有人建议我添加虚拟机防火墙,但这让我有点困惑。
我在每个集群的 Web 服务器和 VPN 上都有一个公共 IP。
基于虚拟机的防火墙(WatchGuard FireBox)仅允许在不受信任的一侧使用单个 NIC。
我可以使用应用程序网关将流量从单个 IP 路由到每个网站(生产、测试和应用服务),并使用跳转箱将 RDP 路由到每个 VM(测试/生产中总共 6 个),这将允许我使用这个单个 NIC 的端口将流量路由到其目的地。这并不理想。
如何使用防火墙拦截所有外部流量,同时仍使用 Azure 访问多个 IP?Jumpbox 和应用程序网关是唯一的方法吗?
说实话有点困惑。欢迎大家提供意见。
答案1
我对 Watchguard 不太熟悉,但是假设它仅支持单个 NIC(如您所说),那么首先您需要能够根据路径或 URL 将流量路由到您的 Web 应用程序。如果 FW 不支持此功能,那么是的,您需要在防火墙之后使用某些东西来处理该路由。应用程序网关是使用 Azure 执行此操作的一种方法,可能是最简单的方法。您还可以查看任何其他反向代理,例如 Nginx 等。
至于能否通过 RDP 连接到您的虚拟机,我会尽量避免将其暴露给互联网和 FW。我建议考虑使用 Azure Bastion,它有效地提供了跳转框即服务,然后您可以使用它来访问您的所有虚拟机。