我在内部 vnet(非公共(上有一个 VMSS/svc 结构群集。与 VMSS 的唯一入站连接是通过 Azure VPN 网关从本地建立的。
如何控制 VMSS 在访问互联网时经过的出站 IP 地址?在这种情况下,我不希望此流量通过随机 IP 地址或通过 VPN 连接路由。
基本上,我想保护我的 Azure SQL,以便将 VMSS 的出站互联网 IP 列入白名单。而且我不想添加所有 Azure 数据中心 IP。
你可以考虑使用强制隧道,这将确保在本地环境中控制数据出口的位置,但这会强制虚拟网络中的任何数据通过 VPN 连接返回,这可能不是可取的(或者如果你不控制从那里的出口,则很有帮助(。
如果做不到这一点,则可以将具有公共 IP 的 Azure VM 上运行的基于软件的防火墙添加到同一 VNet 上,然后使用用户定义的路由 (UDR( 强制发往 Internet 的所有流量通过该流量,然后在 SQL 防火墙中使用公共 IP 地址。
从长远来看,你将能够将 Azure SQL DB 连接到 VNet(或至少限制从一个 VNet 访问它( - 请参阅 Uservoice 网站(并添加你的投票!