Migrazione di IIS in Azure

2

Quindi, in pratica, al momento disponiamo di un server Web completamente pubblico all'interno della rete locale ed è membro del dominio. Stiamo migrando questo in azzurro. Ho raccomandato che il server si trovasse nella propria VNET azzurra, non connesso al dominio.

Le mie intenzioni qui sono che non esisterebbe alcun collegamento tra noi e il server IIS di Azure, oltre alla nostra capacità di caricare i file nell'archivio file di Azure e nel server RDP.

Tuttavia, sto riscontrando problemi con il caricamento dei file nell'archivio file di Azure (poiché il nostro ISP blocca la porta 445 in uscita).

Tutti qui intorno continuano a parlare di una VPN per la nostra VNet azura risolverebbe il problema. Per me questo significa fondamentalmente che la nostra rete virtuale Azure sarebbe quindi un membro della rete e siamo nella stessa barca in cui ci troviamo ora. La mia ipotesi è corretta?

    
posta S. Walker 21.12.2016 - 21:30
fonte

2 risposte

0

VPN non significa che Azure VNet sia sulla tua rete. Significa che hai una connessione privata virtuale alla rete virtuale di Azure.

Qualunque sia la possibilità di applicare le policy del router che normalmente si possono applicare a una subnet come è possibile su una VPN site-to-site.

L'utente @Xander fa un buon punto che potresti semplicemente creare un VPN Point-Point Protocol e sarebbe semplice. Tuttavia, per qualcosa di più grande del più piccolo dei team DevOps, questo non si ridimensionerà molto bene. Dovresti dare l'infrastruttura agli sviluppatori.

L'amministrazione sarebbe un incubo, come controllereste l'accesso a Azure VNet, specialmente quando uno sviluppatore lascia la società?

Il mio consiglio sarebbe quello di connettere la rete virtuale di Azure al router gateway utilizzando una soluzione VPN da sito a sito, come IPSEC / IKE. Quindi installerei i criteri del firewall per consentire solo al protocollo TCP Stabilito / correlato di passare da rete virtuale di Azure alla rete interna.

Questa configurazione rende efficacemente la rete virtuale di Azure come DMZ.

    
risposta data 22.12.2016 - 06:26
fonte
0

Azure supporta diversi tipi di connettività VPN. È possibile impostare non solo una VPN site-to-site, che è ciò che sospetto è ciò che si sta pensando che creerà un collegamento a livello di rete tra la rete aziendale e Azure, consentendo di instradare in modo sicuro il traffico verso Azure senza doversi preoccupare delle politiche dei propri ISP, ma è anche possibile impostare una connessione VPN point-to-point, che potrebbe essere quella che ci si aspetta dai requisiti dichiarati. In questa configurazione, la macchina o le macchine che stanno per spingere nuovi file in Azure avranno il client VPN e potrebbero configurare e demolire i tunnel direttamente, e solo quando ne hanno bisogno per inviare aggiornamenti o gestire l'ambiente di Azure . In questo modo non è necessario disporre di un percorso a livello di rete permanente per l'infrastruttura di Azure che potrebbe essere utilizzato per il traffico al di fuori di ciò che si intende e si ritiene necessario.

Esistono altri modi per configurare la rete in modo da limitare la possibilità di accedere alle risorse di Azure, ma una VPN point-to-point è probabilmente la più semplice e facile da gestire.

    
risposta data 22.12.2016 - 00:24
fonte

Leggi altre domande sui tag