Azure SQL托管实例的网络要求之一是具有UDR 0.0.0.0/下一跳Internet,该Internet允许从属于Azure VNet的私有子网和公共Internet进行访问。
为什么要这样做?有什么风险?
答案 0 :(得分:1)
该规则旨在简单地覆盖可能引起不对称路由并干扰管理流量的公用BGP advertisements。
对于BGP通告更特定的前缀的情况,这不足以确保管理流量,并且您将需要定义UDR来覆盖通告的前缀。
请注意,0.0.0.0 / 0下一跳类型Internet规则不会将所有流量路由到Internet。下一跳始终是另一台设备-在这种情况下,位于Azure内部的Internet网关。它称为Internet网关,因为它处理到公共Azure IP地址的路由。由于这些IP地址大部分属于与托管实例并置的Azure服务,因此始终能找到最短路径的网络流量始终在Azure内部。
受管实例需要公共Internet访问以进行证书吊销验证,并且此操作是通过公共Internet完成的。证书吊销信息是公开的,因此不会以这种方式发送或接收任何机密信息。证书验证信息也经过签名,以防止回火。
除了0.0.0.0下一跳互联网之外,您还可以设置其他一组有限的UDR:
*异常是必须具有下一跳类型的托管实例子网目标 虚拟网络–否则,托管实例之间的连接可能会断开。
此限制将来会被放宽或取消,因此请务必 请查看Azure SQL托管实例文档中的更新。