我在内部vnet(非公开)上有一个VMSS / svc结构集群。与VMSS的唯一入站连接是从一开始就通过Azure VPN网关。
如何控制VMSS访问互联网时的出站IP地址?在这种情况下,我不希望此流量通过随机IP地址或VPN连接进行路由。
基本上我想保护我的Azure SQL,以便将VMSS的出站互联网IP列入白名单。我不想添加所有Azure数据中心IP。
答案 0 :(得分:1)
您可以使用Forced Tunneling来确保您的控制在本地环境中发生数据出口的位置,但是这会强制虚拟网络中的任何数据通过您的VPN连接返回,这可能不是理想的(或者如果你不控制出口那么有用)。
如果失败了,您可以将具有公共IP的Azure VM上运行的基于软件的防火墙添加到同一个VNet上,然后使用User Defined Routes(UDR)强制所有绑定到Internet的流量通过然后在SQL防火墙中使用公共IP地址。
从长远来看,您可以将Azure SQL DB连接到VNets(或至少限制从一个访问它) - 请参阅Uservoice site(并添加您的投票!)