代码之家 › 专栏 › 技术社区 › dashambles

从应用程序服务访问本地服务器

azure-private-link azure-virtual-network azure

0

dashambles · 技术社区 · 4 年前

我们已经设置了一个VPN网关,并使用它将内部网络与Azure ExpressRoute连接起来。我们已经成功测试了许多场景

从虚拟机到内部数据库的通信
从本地计算机(台式机和服务器)到VM(SSH等)的通信
从内部计算机(台式机和服务器)到具有专用链接端点(应用程序服务、数据库等)的服务的通信。

我们现在尝试的用例是从应用程序服务访问内部数据库。我已将应用程序服务集成到路由的ExpressRoute,并向此ExpressRoute添加了一个服务端点。我看到一些信息表明这应该奏效,但并没有奏效。

第二个问题是,当应用程序服务连接到本地服务器时,它的实际源ip是什么。当然不是出站IP吗?这些是非独占公共IP。在我们的VPN防火墙上打开这些将是一个风险。在这种情况下,解决方案是给有问题的应用程序服务一个私有链接端点。那么它的源IP会是PL的私有IP吗?

0 回复 | 直到 4 年前

1

Nancy Xiong 4 年前

专用终结点仅用于 流入流量 到您的Web应用程序。传出流不会使用此专用端点,但您可以在 不同子网 通过ExpressRoute集成功能。当您为Web应用程序启用专用终结点时,不会评估Web应用程序的访问限制配置。因此,在这种情况下,我认为您不需要设置服务端点 Microsoft.Web 如果您已经设置了web应用程序,请参考 using Azure private endpoint for Azure web app .

当启用了区域ExpressRoute集成时,您的应用程序会 外呼互联网 通过应用程序属性门户中列出的出站地址。Regional ExpressRoute Integration通过装载具有委派子网中地址的虚拟接口来工作。如果 WEBSITE_VNET_ROUTE_ALL 设置为 1 ,所有出站流量都可以发送到您的ExpressRoute。因此,当应用程序服务作为@silet的注释到达本地服务器时,源IP地址将来自集成子网。参考来自 how regional VNet Integration works 。请注意,该功能仅支持每个应用程序服务计划的一个区域ExpressRoute集成。