Назад | Перейти на главную страницу

Включение обмена данными между виртуальными сетями Azure

У меня есть подписка Azure с двумя разными группами ресурсов, Test и Prod. В каждой группе ресурсов есть виртуальная сеть с несколькими виртуальными машинами.

Есть ВМ в Prod который действует как сервер лицензий, и услуги в обоих Test и Prod должен иметь доступ к нему. Назовем это LICENSE-VM.

+------------------------------+            +-------------------------------------+
|     Test Resource Group      |            |          Prod Resource Group        |
|                              |            |                                     |
|   +----------------------+   |            |   +-----------------------------+   |
|   |       Test VNET      |   |            |   |          Prod VNET          |   |
|   |                      |   |            |   |                             |   |
|   |   +----+    +----+   |   |            |   |   +----------+    +----+    |   |
|   |   |VM-1|    |VM-2|   +----------------------> |LICENSE-VM| <--+VM-3|    |   |
|   |   +----+    +----+   |   |            |   |   +----------+    +----+    |   |
|   |                      |   |            |   |                             |   |
|   +----------------------+   |            |   +-----------------------------+   |
|                              |            |                                     |
+------------------------------+            +-------------------------------------+

Конечно, это не проблема Prod VNET, но я изо всех сил пытаюсь найти безопасный способ связи с LICENSE-VM из Test.

Подумал добавить публичный IP в LICENSE-VM, и используя NSG (Network Security Group), прикрепленную к NIC, чтобы заблокировать его, но если я использую правило IP-адреса источника, которое указывает диапазон CIDR TEST VNET, не работает (не могу подключиться)
Затем я подумал о добавлении общедоступного балансировщика нагрузки, но, похоже, это та же проблема, что и (1), в том, что я не могу привязать его к VNET в другой группе ресурсов.
Мы могли бы настроить пиринг VNET, но это кажется излишним, когда нам нужен доступ только к одному порту на одной виртуальной машине. Я также не уверен, можем ли мы заблокировать это с помощью групп безопасности сети?

Любая идея, как я могу заблокировать общедоступный IP-адрес, чтобы VNET в другой группе ресурсов мог получить к нему доступ? В качестве альтернативы, есть ли другой способ подойти к этому?

Я чувствую, что это должен быть относительно распространенный сценарий, и мне не хватает чего-то очевидного!

Вы можете заблокировать трафик с помощью групп безопасности сети, но адресом источника трафика будут не частные IP-адреса вашей VMS в «Тестовой виртуальной сети», а общедоступные IP-адреса виртуальных машин в «Тестовой виртуальной сети».

Убедись, что ты преобразовать общедоступные IP-адреса вашей виртуальной машины в статические так что у вас не будет никаких сюрпризов в будущем.

В качестве альтернативы вы можете использовать пиринг виртуальных сетей, а затем, да, заблокировать трафик с помощью частных IP-адресов.

Я прочитал этот выпуск пару раз, но все еще не уверен на 100% в том, что вы пытаетесь сделать. Насколько я понимаю, вы пытаетесь подключить 2 Vnet, но Secure Licenses-VM.

В целях безопасности, когда вы говорите о взаимодействии между 2 пиринговыми виртуальными сетями или VPN, это единственные варианты. И я думаю, это должно решить вашу проблему.

Если вам нужна дополнительная безопасность, вы можете переопределить правила по умолчанию для NIC NSG, которые разрешают всю связь в виртуальной сети, и создать правило для открытия открытых портов, необходимых для обмена лицензией.

Надеюсь это поможет.