Доступ к локальному серверу из службы приложений

Мы настроили VPN-шлюз и использовали его для подключения локальной сети к виртуальной сети Azure. Мы успешно протестировали ряд сценариев

  • связь от виртуальных машин к локальным БД
  • связь с локальных компьютеров (настольных компьютеров и серверов) с виртуальными машинами (SSH и т. д.)
  • связь от локальных компьютеров (настольных компьютеров и серверов) к службам с конечными точками Private Link (службы приложений, базы данных и т. д.).

Пример использования, который мы сейчас пытаемся сделать, - это получить доступ к локальной БД из службы приложений. Я интегрировал приложение-службу в маршрутизируемую виртуальную сеть, а также добавил в эту виртуальную сеть конечную точку службы. Я видел информацию о том, что это должно работать, но этого не происходит.

Второй вопрос: каков фактический исходный IP-адрес службы приложения, когда он подключается к локальному серверу. Неужто не исходящие IP-адреса? Это неисключительные общедоступные IP-адреса. Открытие их на нашем брандмауэре VPN было бы риском. В этом случае решением также является предоставление соответствующей службе приложения конечной точки частной ссылки. Будет ли исходный IP-адрес частным IP-адресом PL?


azure azure-private-link azure-virtual-network
person dashambles    schedule 15.01.2021    source источник
comment
вы читали эту статью? docs.microsoft.com/en-us/ azure / app-service / и этот docs.microsoft.com/en-us/azure/app-service/   -  person silent    schedule 15.01.2021
comment
Да в обоих случаях. Как уже было сказано, я интегрировал службу приложений в маршрутизируемую виртуальную сеть. WEBSITE_VNET_ROUTE_ALL также имеет значение 1 в службе приложения.   -  person dashambles    schedule 15.01.2021
comment
Я пропустил немного о WEBSITE_PRIVATE_IP, так что это IP, который нужно будет установить на брандмауэре?   -  person dashambles    schedule 15.01.2021
comment
Не совсем так: значение WEBSITE_PRIVATE_IP обязательно изменится. Однако это будет IP-адрес в диапазоне адресов подсети интеграции или в диапазоне адресов точка-сеть, поэтому вам нужно будет разрешить доступ из всего диапазона адресов.   -  person silent    schedule 15.01.2021

Ответы (1)


arrow_upward
1
arrow_downward

Частная конечная точка используется только для входящих потоков в ваше веб-приложение. Исходящие потоки не будут использовать эту частную конечную точку, но вы можете вводить исходящие потоки в свою сеть в другой подсети с помощью функции интеграции с виртуальной сетью. Когда вы включаете частную конечную точку для своего веб-приложения, конфигурация ограничений доступа веб-приложения не оценивается. Поэтому в этом случае я не думаю, что вам нужно устанавливать конечную точку службы Microsoft.Web для вашего веб-приложения, если вы ее установили. Ссылка из с использованием частной конечной точки Azure для Azure веб-приложение.

Когда региональная интеграция виртуальной сети включена, ваше приложение выполняет исходящие вызовы в Интернет через исходящие адреса, перечисленные на портале свойств приложения. Региональная интеграция виртуальной сети работает путем подключения виртуальных интерфейсов с адресами в делегированной подсети. Если для WEBSITE_VNET_ROUTE_ALL установлено значение 1, весь исходящий трафик может быть отправлен в вашу виртуальную сеть. Таким образом, исходный IP-адрес будет из интегрированной подсети, когда служба приложения поступит на локальный сервер в виде комментария @ silent. Ссылка с сайта как работает региональная интеграция виртуальной сети. Обратите внимание, что эта функция поддерживает только одну региональную интеграцию виртуальной сети для каждого плана службы приложений.

person Nancy Xiong    schedule 18.01.2021
comment
Спасибо за ответ, Нэнси! На самом деле мы успешно используем частные ссылки (случай 3 выше) и конечные точки служб + интеграция с Vnet + ограничения доступа (с WEBSITE_VNET_ROUTE_ALL), чтобы ограничить трафик и доступ в наших службах и позволить разговаривать с собственными виртуальными машинами (и т. Д.). Как работают службы приложений в отношении интеграции с VPN, было неясно. К сожалению, все немного изменилось: теперь VPN GW перемещен в другую виртуальную сеть, и наша виртуальная сеть проверяется с его помощью. Я все еще безуспешно пытаюсь получить доступ к локальной БД из службы приложений в одной виртуальной сети, подключенной к виртуальной сети, которая содержит VPN GW. - person dashambles; 24.01.2021
comment
Интегрирует ли приложение виртуальную сеть и виртуальную сеть VPN GW, расположенную в одном регионе? В противном случае вы используете глобальный пиринг виртуальных сетей, вы не можете использовать интеграцию региональной виртуальной сети, потому что есть ограничения. Вам необходима интеграция виртуальной сети, требующая шлюза, с пирингом, и вам необходимо настроить несколько дополнительных элементов для работы с вашим приложением, см. this. - person Nancy Xiong; 25.01.2021
comment
Они в одном регионе - person dashambles; 26.01.2021
comment
Теоретически он должен работать из приложения --- интегрированного vnet --- пиринга --- vpnGW vnet --- локальной сети. Вы проверили маршрут как в виртуальной сети, интегрированной в приложение, так и в локальной сети? Есть ли какой-либо маршрут из локальной сети в виртуальную сеть приложений Azure и наоборот? Последнее предложение: вы можете повторно настроить vpn-соединение после того, как завершите пиринг в лазурном vnet. - person Nancy Xiong; 28.01.2021