我可以通过跳箱将所有stream量重新路由到我的虚拟机吗？

通过远程桌面连接到我的所有虚拟机，我想我可以简单地创build一个VPN RDP连接到我的跳转箱，当login到我的跳转箱时，只需使用内部vnetworkingIP向另一个虚拟机打开另一个RDP窗口。

是的，我们可以将VM工作部署为跳转框。

直接通过SQL Server Management Studio或使用连接string的应用程序访问我的（负载均衡w /可用性集）MSSQL 2016实例。 MSSQL实例驻留在我的SQL层VM上，而不是在我的跳转箱上，我可以以某种方式将SQL通信从我的跳转到我的SQL层VM？ 我猜想，访问sql层VM直接违背了有一个跳箱的整个想法。

我们可以在跳转框上部署RRAS（VPN），它可以作为P2S VPN服务器，当您连接到RRAS服务器后，就可以直接连接到Azure VM。 我们可以使用Windows客户端连接到RRAS服务器，也可以在Linux上安装SSTP客户端，然后我们可以使用Linux连接到RRAS服务器。

有关启用RRAS作为VPN服务器的更多信息，请参阅链接 。

有很多方法可以解决这个问题，如果不知道你的业务需求，没有直接的答案，我强烈build议阅读本文并决定你的自我： https ： //docs.microsoft.com/en-us/azure/best -practicesnetworking安全？TOC =％2fazure％2fvirtualnetworking％2ftoc.json

当使用Azure时，跳箱不会是最安全的devise，因为您可以使用免费工具，比跳箱更便宜，更方便。

我会避免不惜一切代价向互联网开放，除非你有一个强大的业务案例，然后使用networking安全组与ACL，只允许从特定的IP地址访问它。

对于你的Multitier部署，我build议如下：

• 创build一个资源组来托pipe环境。
• 用三个子网创build一个Vnet，一个用于前端，另一个用于后端，第三个用于VPN。
• 创build两个networking安全组（NSG），并将它们关联到前端和后端子网。
• 对于NSG前端，只允许HTTP / HTTPS。
• 对于后端的NSG，即使对于RDP和SQL，禁止从互联网上的所有types的访问，并且只允许来自前端子网的访问。
• 在子网级别启用VPN，并configuration站点到站点的连接到您的工作地点，或点对点，并只允许您信任的特定人员使用。

这是一个更好的部署scheme，下面是一个很好的总结：

参考文献

networking安全组： https ： //docs.microsoft.com/en-us/azure/virtual-network/virtual-network-manage-nsg-arm-portal

Azure站点到站点VPN： https ： //docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-site-to-site-resource-manager-portal？toc =％2fazure ％2fvirtualnetworking％2ftoc.json

Azure点对点VPN： https ： //docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-howto-point-to-site-resource-manager-portal

访问控制列表： https ： //docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-acl-powershell