這次來看下Firewall的另外一個應用場景,在Azure中,如果我們想在VNET中訪問Azure的PaaS服務,流量不會走到internet中,而是通過微軟的backbone訪問,但是這樣其實並不是最優的路徑,流量實際上會先像訪問internet一樣走到網關,然後再通過網關走到paas服務,在PaaS服務中你會看到訪問的源IP是VM的public ip,如果想讓vm直接訪問paas服務,則可以通過Azure vnet endpoint。
來看下endpoint的介紹
虛擬網絡 (VNet) 服務終結點可通過直接連接將 VNet 的虛擬網絡專用地址空間和標識擴展到 Azure 服務。 使用終結點可以保護關鍵的 Azure 服務資源,只允許在客戶自己的虛擬網絡中對其進行訪問。 從 VNet 發往 Azure 服務的流量始終保留在 Azure 主幹網絡中。
服務終結點提供以下優勢:
提高 Azure 服務資源的安全性:VNet 專用地址空間可能重疊,因此不能用於唯一標識源自 VNet 的流量。 通過將 VNet 標識擴展到服務,服務終結點可以將對 Azure 服務資源的訪問限定到你的虛擬網絡。 在虛擬網絡中啓用服務終結點後,可以通過將虛擬網絡規則添加到資源,在虛擬網絡中保護 Azure 服務資源。 這完全消除了通過公共 Internet 對資源進行訪問的可能性,並僅允許來自自己虛擬網絡的流量,從而提高了安全性。
來自虛擬網絡的 Azure 服務流量的最佳路由:當前,虛擬網絡中強制 Internet 流量發往本地和/或虛擬設備的任何路由(稱爲強制隧道)也會強制 Azure 服務流量採用與 Internet 流量相同的路由。 服務終結點爲 Azure 流量提供最佳路由。
終結點始終將直接來自虛擬網絡的服務流量轉發到 Azure 主幹網絡上的服務。 將流量保留在 Azure 主幹網絡上可以通過強制隧道持續審覈和監視來自虛擬網絡的出站 Internet 流量,而不會影響服務流量。
設置簡單,管理開銷更少:不再需要使用虛擬網絡中的保留公共 IP 地址通過 IP 防火牆保護 Azure 資源。 無需使用 NAT 或網關設備即可設置服務終結點。 只需單擊一下子網,即可配置服務終結點。 不會產生與終結點維護相關的額外開銷。
聽起來很不錯,但是endpoint實際上是個regional的服務,比如你得vnet在北一,paas服務在東一,這種場景下就算開啓了endpoint也不會有效果
這時候其實可以結合Azure firewall解決,前提是azure firewall部署在東一
首先來看下沒有endpoint適合的訪問場景,因爲默認路由指向FW,如果沒有FW的網絡規則允許訪問Azure SQL,訪問會被拒絕,即使加了Azure SQL白名單也沒用
接下來,首先在FW上添加規則允許出站訪問azure sql,這裏可以看到,和nsg類似,firewall裏也可以以service tag來添加規則,很方便
這次可以看到,提示我們沒有添加到白名單,但是起碼網絡肯定是通了
這裏把FW的IP添加進去,正常連接了
可以看到源IP就是FW的IP
接下來在firewall的subnet添加sql的endpoint
之後,在azure sql添加允許firewall所在的subnet訪問
這次再試一下,已經可以看到訪問的IP是firewall的內網IP了!
