我有一个在Azure虚拟机中运行的三层应用程序。
这个应用程序有两个后端层和一个Web层。 这分成三个云服务 – 每一层。
两个后端层使用Azure内部负载平衡。
Web层只需要通过端口443与后端进行通信。
是否可以创build第二个VNet并为前端服务器使用VNet-to-VNet连接,并在其上放置一个ACL,以便它只能通过443与后端服务器进行通信? 如果是这样,我在哪里configurationACL? 在任何情况下,后端服务器都不能直接暴露在互联网上。
编辑:
这不可能。 请参阅:目前,您只能为端点指定networkingACL。 您无法为虚拟networking或虚拟networking中包含的特定子网指定ACL。 此外, 虚拟networking安全白皮书可能会有用。
看看这里
基本上,是的,你可以让你的前端服务器在一个vnet中,而你的后端服务器在另一个中,然后使用ACL来限制对后端的访问。
你不能做的是限制使用ACL的后端服务器之间的通信,如果他们在同一个VNet。 您需要Windows防火墙或其他措施。
要configuration此function,只要将后端服务器放在VNet中,请使用后端服务器的“端点”configuration并添加HTTPS/443端点。 然后,仍然在这个端点上,点击底部的“ MANAGE ACL ”。 现在,允许您的前端networking或只是/32 IP地址,和DENY其他所有( 0.0.0.0/0 )
请参阅指南了解更多详情