Bảo vệ mạng giữa trang web và máy ảo trong azure

Question

Tôi hiểu rằng trong cửa sổ Azure bạn có thể thêm máy ảo vào mạng ảo, nhưng tôi không thấy tùy chọn thêm trang web vào mạng.

cách được khuyến nghị để đảm bảo quyền truy cập vào máy ảo (MongoDb) từ trang web xanh lam là gì?

Tôi rất thích có db phía sau một số loại tường lửa hơn là lưu lượng truy cập qua internet công cộng.

Chỉnh sửa: vm sẽ lưu trữ MongoDb, do đó, sử dụng Sql Azure hoặc các giải pháp MSSql khác không phải là một tùy chọn.

Answer 1

Tôi không chắc mình hiểu câu hỏi của bạn nhưng tôi sẽ cố gắng trả lời câu hỏi. Cách tiếp cận là tạo một máy ảo (IaaS) sẽ lưu trữ trang web của bạn, ví dụ: Ứng dụng MVC 3. (Tạo hai trong số này và sau đó tải cân bằng chúng trong Azure). Tạo một máy ảo khác (IaaS) và đây sẽ là máy ảo DB của bạn. ví dụ. SQL Server. Một chuỗi kết nối từ Trang Web của bạn sẽ cho phép bạn nói chuyện với Máy chủ DB của bạn

Khi người dùng truy cập vào trang web của bạn, họ sẽ không thể thấy DB của bạn vì nó không được hiển thị công khai, họ sẽ chỉ thấy cổng 80 mà bạn có đã mở cho trang web của bạn để có thể duyệt được. Bạn đã tạo một trang web an toàn có hiệu quả mà mọi người có thể duyệt qua cổng 80 mà không có quyền truy cập vào DB Tier của bạn.

Mô hình trên sử dụng IaaS cho mọi thứ, bạn cũng có thể thực hiện PaaS/IaaS nơi bạn có một trang web chạy trong Azure PaaS (Vai trò Web) và bạn có một DB đang chạy (ví dụ: SQL Server) trên máy IaaS. Một lần nữa, tất cả lưu lượng truy cập sẽ đánh vào trang Web công khai của bạn, trang Web sẽ có một chuỗi kết nối để trỏ tới cá thể IaaS của bạn và chỉ có thể giao tiếp với cá thể DB của bạn.

Có nhiều cách để giải quyết vấn đề này, thông qua WAWS (Windows Azure Web Sites) cung cấp một MySQL (được công bố ngày hôm nay) và cũng sử dụng SQL DB trong Azure?

Nếu bạn giải thích các yêu cầu chính xác của mình thì chúng tôi có thể hướng dẫn bạn tốt hơn?

Tôi vẫn chưa rõ về phần Mạng ảo của bạn và những gì nằm ở đâu?

Answer 2

Bạn không thể thêm trang web Windows Azure vào mạng ảo bao gồm các triển khai Windows Azure khác.

Miễn là cơ sở dữ liệu của bạn nằm trong cùng một trung tâm dữ liệu, mạng ảo không cần thiết. Nếu bạn tạo một Windows Azure Web Site, bạn có thể chỉ cần nói chuyện với Windows Azure SQL Database - chỉ cần thiết lập một thông qua cổng thông tin, lấy chuỗi kết nối và thông tin xác thực và thêm nó vào ứng dụng của bạn. Trong thực tế, khi bạn tạo một trang Web từ thư viện (sử dụng SQL Server vs MySQL), bạn được yêu cầu tạo một cơ sở dữ liệu mới hoặc chọn một cơ sở dữ liệu hiện có.

Trong cổng, bạn có thể dễ dàng tạo cơ sở dữ liệu của riêng mình (đây là cơ sở dữ liệu dưới dạng dịch vụ và chỉ mất vài giây). Một khi bạn làm, bạn có thể kích hoạt quy tắc tường lửa để cho phép các dịch vụ Windows Azure truy cập nó. Sau đó, không thêm bất kỳ quy tắc tường lửa nào khác. Tại thời điểm này, chỉ các dịch vụ Windows Azure mới có thể tìm thấy cơ sở dữ liệu của bạn và chỉ các dịch vụ biết thông tin đăng nhập mới có thể kết nối với nó.

Như đề xuất của @ user728584, bạn cũng có thể chạy cơ sở dữ liệu trong Máy ảo, nhưng sau đó bạn phải truy cập cơ sở dữ liệu qua địa chỉ IP công cộng. Nếu bạn truy cập vào một cơ sở dữ liệu tại chỗ, bạn sẽ có cùng một vấn đề, vì không có cách nào để cài đặt một ứng dụng khách VPN vào một trang Web Azure. Bạn có thể làm điều này với một ứng dụng web được lưu trữ trong một Vai trò Web (bạn có thể làm khá nhiều thứ).

Answer 3

NẾU bạn đang muốn sử dụng mạng và cơ sở dữ liệu của riêng bạn trong máy ảo, tốt nhất là bắt đầu với các trang web dành riêng. Trang web được chia sẻ có thể không phải là ý tưởng tốt do giới hạn tài nguyên và các hạn chế khác.

Nếu DB của bạn là MongoDB, sau đó bạn có hai lựa chọn:

1. Có ứng dụng ASP.NET MVC của bạn đang chạy trong một máy ảo (Windows Server + IIS + ứng dụng của bạn - IaaS) và có MongoDB là chạy trên máy ảo khác. Nếu cả hai máy đều ở cùng một DC, bạn không cần phải kết nối với mạng.

2. Có vai trò Web Azure ASP.NET MVC (PaaS) và Máy ảo có MongoDB đang chạy (IaaS).

Trong cả hai trường hợp, bạn chỉ cần định cấu hình chuỗi kết nối để kết nối MongoDB và không cần thêm sửa đổi mạng để làm việc như tất cả các máy nằm trong cùng một DC.

Answer 4

Cũ câu hỏi, nhưng điều này hiện đang được hỗ trợ bởi Microsoft Azure: http://azure.microsoft.com/en-us/documentation/articles/web-sites-integrate-with-vnet/

EDIT: Trước tiên, hãy chắc chắn bạn đã thiết lập VNET của bạn và đã bổ sung thêm một cổng (đối với một số lý do, thêm các cổng mất một thời gian rất dài ... hãy chắc chắn rằng bạn để nó kết thúc trước khi bạn tiến hành).

New-AzureVNetGateway -VNetName $vnetName -GatewayType DynamicRouting 

Cổng cũng có thể được thêm vào cổng thông tin.

Sau đó, và bạn phải sử dụng new Preview Portal cho điều này, hãy duyệt ứng dụng web của bạn và cuộn xuống phần Mạng và nhấp vào nút "Mạng ảo". Sau đó, tìm vnet của bạn trong danh sách các kết nối hiện có. Nếu bạn không nhìn thấy nó, thì cổng của bạn không được thiết lập chính xác.