1

我有一种情况,我想为其他 Vnet(定义了私有 IP 范围)打开我的 Vnet(比如说 Vnet1),我正在考虑使用 NSG 规则并允许其他 Vnet(比如说 Vnet2、Vnet3)的私有 IP 范围这个入口点子网(在 Vnet1 中)托管我的 API 网关。我有两个问题:

  1. 我认为使用私有 IP 地址并允许它们使用 NSG(Vnet 1/子网 1)应该是可行的?我不是在寻找 Vnet 的对等互连/s2s vpn,因为它们都属于不同的团队,而 Vnet2/Vnet3 只是想使用 Api 网关访问 Vnet1 的 API。

  2. 是否有我们预见到的任何安全问题,我认为暴露是安全的,因为这些是私有 IP,不能从 Internet 访问。

请让我知道可行性和安全性的意见。

谢谢 Xslguy

4

1 回答 1

2

为了帮助可能找到相同场景的其他人,只需在评论中提取有用信息并写下我的答案。

Azure VNet 是 Azure 云专用于您的订阅的逻辑隔离。VNet 对等互连允许两个 VNet 之间的流量仅通过 Microsoft 的专用网络进行路由。如果 VNET 没有对等互连,vnet1 将不会使用私有 IP 连接到 vnet2 中的资源,而是使用 vnet2 中资源的公共 IP。在这种情况下,我们需要限制连接到子网的 NSG 中入站规则的源公共 IP。借助 VNet 对等互连,您还可以通过将源私有 IP 用于附加到子网的 NSG 中的入站规则来限制从一个子网到另一个子网的访问。

安全规则

如果为 Azure 资源指定地址,请指定分配给该资源的专用 IP 地址。在 Azure 将公共 IP 地址转换为用于入站流量的专用 IP 地址之后,以及在 Azure 将专用 IP 地址转换为用于出站流量的公共 IP 地址之前,会处理网络安全组。

于 2021-04-06T09:28:16.803 回答