问题描述
我们在具有多个客户的Azure内部管理大型环境,我们正在对其进行重新设计,并且我们希望在其中管理多个通用子网(例如应用程序,Web和数据库子网)中的流量。
因此,在任何公共子网(例如db)中,基本上没有两个不同的应用程序无法相互通信。
解决方法
默认情况下,来自同一VNet的不同子网中的资源可以相互通信。因此,您需要使用Azure network security group来过滤往返于Azure虚拟网络或子网中Azure资源的网络流量。
应用程序安全性组使您可以将网络安全性配置为应用程序结构的自然扩展,允许您对虚拟机进行分组并根据这些组定义网络安全性策略。您可以大规模重用安全策略,而无需手动维护显式IP地址。要了解更多信息,请参阅Application security groups。
对于PaaS(例如Azure应用服务或Azure SQL数据库),您可以使用VNet Integration来访问专用网络中的VNet资源,也可以使用virtual network service endpoints and rules for servers in Azure SQL Database。
有关更多信息,您可能知道: