Zabezpieczanie sieci między witryną a maszyną wirtualną w kolorze błękitnym

Question

Rozumiem, że w systemie Windows Azure można dodawać maszyny wirtualne do sieci wirtualnej, ale nie widzę opcji dodawania witryny do sieci.

jaki jest zalecany sposób zabezpieczenia dostępu do maszyny wirtualnej (MongoDb) na lazurowej stronie internetowej?

Wolałbym mieć db za jakąś zaporę zamiast ruchu przechodzącego przez publiczny Internet.

Edytuj: vm będzie hostował MongoDb, więc używanie Sql Azure lub innych rozwiązań MSSql nie jest opcją.

Answer 1

Nie jestem pewien, czy rozumiem twoje pytanie, ale spróbuję na nie odpowiedzieć. Podejście polega na stworzeniu maszyny wirtualnej (IaaS), która będzie hostować Twoją witrynę internetową, np. Aplikacja MVC 3. (Utwórz dwa z nich, a następnie Load Balance na Azure). Utwórz kolejną maszynę wirtualną (IaaS), a to będzie Twoja maszyna wirtualna DB. na przykład SQL Server. Ciąg połączenia z Twojej witryny internetowej pozwoli ci na rozmowę z serwerem DB

Kiedy użytkownik trafi na twoją stronę, nie będzie mógł zobaczyć twojego DB, ponieważ nie jest publicznie dostępny, zobaczy tylko port 80, który masz otwarty dla Twojej strony internetowej do przeglądania. Skutecznie stworzyłeś bezpieczną witrynę internetową, którą ludzie mogą przeglądać przez port 80 bez dostępu do twojego poziomu DB.

Powyższy model wykorzystuje IaaS do wszystkiego, można również wykonać PaaS/IaaS, w którym znajduje się witryna sieci Web uruchomiona w Azure PaaS (rola internetowa) i na komputerze IaaS uruchomiona jest baza danych (na przykład SQL Server). Znowu cały ruch trafi na twoją publiczną stronę internetową, witryna internetowa będzie miała ciąg połączenia, który wskaże twoją instancję IaaS i tylko będzie w stanie komunikować się z twoją instancją DB.

Jest więcej sposobów na rozwiązanie tego problemu, za pośrednictwem WAWS (witryny Windows Azure), które oferują MySQL (zapowiedziany dzisiaj), a także używają SQL DB na Azure?

Jeśli wyjaśnisz swoje dokładne wymagania, możemy skierować Cię lepiej?

Nadal nie jest jasne w części wirtualnej sieci i co znajduje się w miejscu?

Answer 2

Nie można dodać witryny sieci Web systemu Windows Azure do sieci wirtualnej składającej się z innych wdrożeń systemu Windows Azure.

Dopóki baza danych znajduje się w tym samym centrum danych, sieć wirtualna nie jest potrzebna. Jeśli tworzysz witrynę sieci Web Windows Azure, możesz po prostu rozmawiać z bazą danych Windows Azure SQL - wystarczy ustawić ją w portalu, pobrać ciąg połączenia i dane uwierzytelniające i dodać ją do swojej aplikacji. W rzeczywistości, po utworzeniu witryny internetowej z galerii (która korzysta z SQL Server kontra MySQL), użytkownik jest proszony o utworzenie nowej bazy danych lub wybranie istniejącej.

W portalu można łatwo utworzyć własną bazę danych (jest to baza danych jako usługa i zajmuje tylko kilka sekund). Po wykonaniu tej czynności możesz włączyć regułę zapory, aby umożliwić dostęp do usług Windows Azure. Następnie nie dodawaj żadnych dalszych reguł zapory. W tym momencie tylko usługi Windows Azure mogą nawet znaleźć swoją bazę danych i tylko usługi wiedzące, że poświadczenia mogą się z nim połączyć.

Zgodnie z sugestią @ user728584, można również uruchomić bazę danych w obrębie maszyny wirtualnej, ale użytkownik musiałby uzyskać do niej dostęp za pośrednictwem publicznego adresu IP. Jeśli uzyskasz dostęp do lokalnej bazy danych, masz ten sam problem, ponieważ nie ma sposobu na zainstalowanie klienta VPN w witrynie sieci Web Azure. Możesz może zrobić to za pomocą aplikacji internetowej obsługiwanej w roli sieciowej (możesz zrobić prawie wszystko).

Answer 3

JEŚLI zamierzasz używać sieci i własnej bazy danych w maszynie wirtualnej, najlepiej zacząć od zarezerwowanych witryn. Udostępniona witryna może nie być dobrym pomysłem ze względu na ograniczenia zasobów i inne ograniczenia.

Jeśli DB jest MongoDB, to masz dwie możliwości:

1. Wyraź swoją aplikację ASP.NET MVC uruchomiony w maszynie wirtualnej (Windows Server + IIS + swoją aplikację - IAA) i mają MongoDB jest działa na innej maszynie wirtualnej. Jeśli oba urządzenia są w tym samym DC, nie musisz się bawić w sieci.

2. Mieć Azure ASP.NET MVC Web Role (PaaS) i Virtual Machine mają uruchomione MongoDB (IaaS).

W obu przypadkach wystarczy skonfigurować ciąg połączenia, aby połączyć MongoDB i nie ma dodatkowych modyfikacji sieci potrzebne, aby to działało jak wszystkie maszyny są wewnątrz samego DC.

Answer 4

Stare pytanie, ale to jest teraz obsługiwana przez Microsoft Azure: http://azure.microsoft.com/en-us/documentation/articles/web-sites-integrate-with-vnet/

EDIT: Po pierwsze, upewnij się, że konfiguracja Twojego VNET i dodałem bramę (z jakiegoś powodu, dodając bramę trwa bardzo długo ... upewnij się, że skończyłeś, zanim przejdziesz dalej).

New-AzureVNetGateway -VNetName $vnetName -GatewayType DynamicRouting 

Bramę można również dodać do portalu.

Następnie należy użyć do tego celu new Preview Portal, wyszukać aplikację internetową i przewinąć w dół do sekcji Sieć i kliknąć przycisk "Sieć wirtualna". Następnie znajdź swój vnet pod listą istniejących połączeń. Jeśli go nie widzisz, twoja brama nie jest poprawnie skonfigurowana.