问题标签 [vnet]

我创建了一个子网，将 Cosmos DB 连接为服务端点。除了 Cosmos DB 的 IP 防火墙外，我还想通过 NSG 规则控制出站。但是，如果我创建一个规则，该规则拒绝所有出站（也使用拒绝所有入站进行测试），当通过 Mongo 客户端连接到数据库时，它似乎必须生效。

这是预期的行为吗？

我尝试使用 Azure CLI 对我的 Web 应用程序进行 vnet 集成，但只看到“z webapp vnet-integration”命令。这仅用于预览，对我不起作用，因为 vnet 集成预览仅支持一个服务计划到一个子网。

我也看到了这个选项

https://docs.microsoft.com/en-us/rest/api/appservice/webapps/createorupdatevnetconnection

但我对身体参数感到困惑

所有这些参数都需要吗？我在哪里可以找到它。谢谢你

我正在尝试在应用服务中包含现有的 VNET，但我遇到了这个问题：

无法将委派添加到现有子网。: 子网 /subscriptions 的委派无法从 [] 更改为 [Microsoft.Web/serverfarms]，因为它正在被资源使用

Azure 限制？一个 VNET 可以使用多少资源？

所以我们在 Azure 上有一个 Ubuntu 虚拟机和一个 Linux 应用服务，我们想要通过 8983 端口将它们集成起来，有什么办法吗？也许试图让他们都在同一个 vnet 上？

谢谢您的帮助！

我构建了一个体系结构，您可以在其中触发 Azure 函数将数据推送到位于我的 DMZ 后面的 Cosmos DB。一些实施指南规定，如果可能，应始终启用服务端点。但是，如果这样做，Cosmos DB 可能会暴露给 Internet（尽管我不允许 Cosmos DB 防火墙中的任何 IP）。曝光是指 Azure 中处理服务的顺序 ( https://msdnshared.blob.core.windows.net/media/2016/05/1.bmp )。因此，Cosmos DB 默认有一个公共端点。

除了阻止所有 IP 地址外，我可以限制任何来自 Internet 的公共访问吗？

在 Azure 云中，我有以下基础架构：

一个包含两个子网的 Vnet。

• 网络：10.0.0.0/8
  • aks-子网：10.240.0.0/16
  • 持久性子网：10.241.0.0/27

已安装Azure Kubernetes 群集并将其关联到aks-subnet.

在persistence-subnet托管的Azure Database for MySQL paas 中，部署并关联到它。

有persistence-subnet两个服务端点：Microsoft.Sql和Microsoft.Storage

具有服务aks-subnet端点Microsoft.Sql

Azure Kubernetes 集群是使用 Azure CNI 网络配置文件部署的，因此，每个 pod 都会获得一个属于aks-subnet. 此外，我决定选择 Azure CNI，因为我需要将内部的 podaks-subnet与 MySQL 托管服务进行通信。

在托管的Azure Database for MySQL paas 服务中，我已将aks-subnetip 地址范围列入白名单，以允许内部的 podaks-subnet访问 MySQL 服务。

在 AKS 集群中，我使用 helm3 部署 Wordpress helm 图表，使用此命令

部署正在运行，但是当我检查 wordpress pod 日志时，我收到了以下错误消息：

看起来位于内部的 wordpress podaks-subnet无法访问位于 中的 MySQL 服务，persistence-subnet尽管我通过helm install command正确的参数提供它。

奇怪的是，豆荚可以访问互联网，而且我一直在仔细检查允许这种通信的规则和权限。

有什么我不知道的吗？

如何从部署在 Aks 集群内的 Wordpress 服务访问 MySQL 数据库？

更新：

在使用helm install命令部署 Wordpress 之前，我以手动方式创建了指向 Azure 容器注册表数据的 docker 注册表秘密：

regcred我在本地 helm 图表中引用了这一点，deployment.yaml并使用该命令部署了 Wordpress helm install，看起来它可以工作，或者至少 MySQL 没有引起问题。

只是ServerNameApache 指令，因为我的 deploymnet 过程中还没有任何主机名，还没有。

我知道此时数据库不会发生任何事情，因为我们需要通过 Web 访问 Wordpress 站点并部署该站点，那么在那个时候创建​​数据库表对吗？

所以我port-forward从 kubernetes 做了一个操作：

当我去http://localhost:8002/时，浏览器会重定向到我 http://localhost:8002/wp-admin/setup-config.php我可以看到 wordpress 向导。

所以我用我之前在数据库服务器中创建的数据库名称填充数据

当我在向导 UI 中提交数据时，我得到以下信息：

数据连接的消息引用问题

但也许是因为从端口转发操作我们无法从我的本地机器联系到数据库？

我的意思是，进程是不是能够做一个反向端口转发来联系数据库？

我是否需要将 Wordpress 服务应用程序公开给某个域和 IP 公共地址才能联系数据库并安装 Wordpresss？

所以，我进入 pod wordpress 容器进行检查wp-config.php

但是wp-config.php文件不存在，

我有一个wp-config-sample.php，这是他们的内容，但我看不到任何关于 FQDN 的信息。

或者也许我需要在 wp-config.php 中做一些事情，也许重命名 wp-config-sample.php为wp-config.php并在该文件中添加注入到 pod 中的变量？

我正在使用下面的 ARM 模板来创建应用程序网关。当我第一次部署它时，一切正常。当我重新部署它（作为同一环境中持续部署的一部分）时，它失败了，我看到之前存在的侦听器被删除，并且 SSL 证书也被删除。

是否有任何选项我可以根据标准更新 ARM 模板中存在的子资源，例如如果 SSL 证书已经存在，则不更新侦听器。我正在更新一些属性，例如在创建应用程序网关后创建规则和探测，而不是使用 ARM 模板。

ARM 模板供参考-

我在 azure 中设置了两个 vnet，一个在英国南部，一个在英国西部。我在每个区域都有一个 VM 设置并连接到各自的 vnet。

我已经使用 azure 门户上的刀片中的对等选项对这两个 vnet 进行了对等。但是我仍然无法从另一个虚拟机 ping 通。

我没有设置任何网关，因为我知道这不是必需的，并且我可以在网络接口上看到已建立 VNetGlobalPeering 的每个 VM 的有效路由

有没有人设法让这个工作？或者有人可以指出我做错的方向吗？

我在英国南部有一个 azure web 应用程序，在英国西部有一个 azure SQL 服务器。目前他们可以通信，因为我在服务器上启用了允许访问 azure 服务的选项。

我想保护 vnet 后面的 SQL 服务器，因此我在每个区域中创建了一个 vnet 并在它们之间设置对等互连。

我已将 vnet 规则添加到 SQL 服务器，并在子网上启用了 sql 的服务端点，以便 SQL 服务器现在在同一区域的 vn​​et 后面受到保护，并禁用了允许访问 azure 服务的选项。

然后，我将 UK South 的 vnet 添加到 Web 应用程序（使用门户中的预览选项），我认为这将允许 Web 应用程序通过对等 vnet 访问 SQL 服务器。然而，连接不断被拒绝。

我的假设是否正确，这应该可以工作？还是我错过了什么？

我还尝试在每个 vnet 上设置一个 VM，虽然我可以从另一个 VM ping 每个 VM，并且可以让 VM 在与 SQL 服务器相同的区域进行连接。我无法让其他区域的 VM 连接到 SQL 服务器。

任何人都可以帮助我如何正确设置此设置吗？

我有一个与 Vnet 集成的 API 管理实例 - 内部消费者可以访问 API 管理实例。

我希望某些公共客户端也可以访问此 API 管理实例 - Azure 文档中描述的方式是使用应用程序网关：

请参阅：https ://docs.microsoft.com/en-us/azure/api-management/api-management-howto-integrate-internal-vnet-appgateway

有人知道不实施应用程序网关的替代方法吗？