我部署的应用程序不是很复杂,并且不需要专用的 Azure VM。
从根本上来说,它是一个 Azure 应用服务(带有部署槽),它需要一个 Azure SQL 数据库,它在 Azure Blob 存储中存储一些内容,它需要一个 Azure Key Vault,我想添加几个 Azure 函数应用程序,但是...这些东西都不驻留在 VNet 中。
我可以创建一个 VNet,并在 VNet 中为所有这些资源创建端点,但我不确定这在安全性或管理方面对我有何帮助。
底线:对于不运行任何 Azure VM 的系统,我是否真的需要 VNet?这是否比让应用服务直接访问其他资源更安全?
答案1
您不需要 VNet 即可让您的解决方案正常运行。我已构建了与您的解决方案类似的解决方案,无论是否使用 VNet。
拥有 VNet 确实会给您带来一些安全方面的好处。
借助 VNet 和 Endpoints,您的应用服务站点可以通过私有 IP 与您的 Azure SQL 数据库和存储进行通信。将流量隔离在公共互联网之外。重要的是,这意味着您可以阻止对 Azure SQL 数据库和存储的所有公共访问,或者至少将其锁定到您的公共管理 IP。
我个人认为使用 VNet 更稳定、更安全。但这取决于解决方案、它需要多安全、是否存在 GDPR 或数据保护风险。
我总是会回想云解决方案的问题。如果我将其构建为本地解决方案,那么如果有其他方法,我的 SQL 和文件服务器将可以公开访问。
谢谢菲尔