#azure #azure-virtual-network #azure-private-link
Вопрос:
Я испытываю некоторые глубоко неприятные проблемы при попытке подключиться к частной конечной точке SQL server. Отложив на мгновение полное описание проблемы, я хотел бы получить ответы на следующие вопросы
- Действительно ли частная конечная точка SQL Server будет прослушивать только подключения с виртуальной машины Azure? Я видел, как сторонние организации предположили, что это так, но не могут найти это явно задокументированное MS. (Чтобы уточнить, если только виртуальные машины могут подключаться, это будет означать, например, что балансировщик нагрузки Azure не может использовать частную конечную точку в качестве внутреннего ресурса; и, например, локальная виртуальная машина не может подключиться к частной конечной точке через VPN-это правильно?)
- Предполагая, что ответ на вышеуказанный вопрос «Да», применяется ли ограничение, например, для предотвращения прослушивания частной конечной точкой подключений, пересылаемых из интерфейса виртуальной машины Azure?
(Например, скажем, брандмауэр в виртуальной машине в Azure. Внутри виртуальной машины брандмауэра настроен IP-адрес 192.168.0.10. В Azure интерфейс виртуальной машины связан только с одним IP-адресом, который является IP 192.168.0.6. В этом сценарии виртуальная машина брандмауэра будет отвечать на запросы ARP с ответами ARP «У меня есть 192.168.0.10», но 192.168.0.10 не связан конфигурацией Azure с каким-либо виртуальным сетевым интерфейсом Azure. В этом случае будет ли работать подключение к частной конечной точке с использованием адреса источника 192.168.0.10? Или это тот случай, когда PE будет прослушивать соединения только с исходным адресом 192.168.0.6?)
Ответ №1:
Чтобы ответить на ваши вопросы:
- Возможно, вы используете частную конечную точку в качестве бэкэнда в балансировщике нагрузки Azure, поскольку Azure LB поддерживает сетевой адаптер или IP-адрес в качестве целевого бэкэнда. Кроме того, локальная виртуальная машина, безусловно, может подключаться к частной конечной точке через VPN-туннелирование, прочитайте этот документ для получения более подробной информации.
- Виртуальная машина по умолчанию отправляет весь исходящий трафик на IP-адрес, назначенный основной конфигурации IP основного сетевого интерфейса. Таким образом, он будет использовать адрес источника
192.168.0.6при подключении к частной конечной точке. Ознакомьтесь с ограничениями сетевого интерфейса.
Комментарии:
1. Спасибо тебе за твой ответ, Нэнси. У меня все еще возникают трудности с этой работой, и, возможно, это связано с перенаправленным трафиком. У меня есть частная конечная точка в той же подсети, что и виртуальная машина Azure. Я вижу пакеты, покидающие интерфейс, нацеленный на частную конечную точку, но ничего не возвращается в обратном направлении. Он не отвечает.
2. В Azure виртуальная машина настроена на 10.0.0.133. Частная конечная точка-10.0.0.135. Оба в одной и той же подсети. Пакет с исходным адресом 10.0.0.201 оставляет виртуальную машину, нацеленную на 10.0.0.135. Мы можем видеть, как это происходит в режиме реального времени, но частная конечная точка просто не отвечает. Ничего не возвращается. (Почему, о, почему?)
3. Какой IP 10.0.0.133 и 10.0.0.201? Для тестирования вы могли бы отключить брандмауэр внутри виртуальной машины? Какова конфигурация основного IP-адреса основного сетевого интерфейса?