我们是否可以在azure中创建防火墙规则以仅允许来自azure数据中心的连接?
答案 0 :(得分:2)
严格地说,这不可能做到。
从根本上说,Azure并不位于单一的IP地址范围内,每个Azure区域也不存在。实际上,每个区域被分成多个地址范围,这些地址范围不一定是并发的。定义单个防火墙规则(涵盖整个Azure基础架构)的能力需要Azure中的一些工作来定义和维护包含所有这些值的变量。
值得指出的是,Azure已经为 Internet 和 VirtualNetwork 提供了类似的解决方案,这些解决方案已应用于default NSG rules。由于Azure中的大多数基础结构(但在虚拟网络之外)本质上是 Internet ,因此为所有Azure IP设置此类变量将使用户可以选择(可能在不知不觉中)打开其资源任何形式的恶意活动。
根据您尝试实现的目标,Azure确实提供了Service Endpoints形式的变通方法。此功能最近已离开预览阶段,并允许用户在某些PaaS资源与您的虚拟网络之间创建安全规则。目前,此功能仅限于 Azure存储, Azure SQL数据库和 Azure SQL数据仓库。
为所有Azure IP范围实施防火墙规则的一种非常草率的方法是手动输入您需要的区域的地址范围,可以下载here。但是,由于前面提到的安全漏洞,这样做会非常气馁,而且这些IP范围并不完全是静态的,因此如果微软要编辑某些地址范围,很容易被抓住。