Azure - Web zu SQL mit lokaler (Azure) IP

Question

In einer typischen Web-App-Umgebung befinden sich der SQL-Server und der Web App-Server im selben Netzwerk und die Webanwendung verbindet sich über eine lokale IP mit dem SQL-Server. Dies hilft natürlich bei der Leistung, da Anfragen nicht ins Internet gehen und zurückkommen müssen, die gesamte Kommunikation kann im lokalen Netzwerk erfolgen. Ein zusätzlicher Vorteil besteht darin, dass der SQL-Server nur auf internen Datenverkehr beschränkt werden kann.

Wie kann dasselbe mit einem Azure Web- und SQL-Server erreicht werden? Ich gehe davon aus, dass es sich um eine naheliegende Anforderung handelt (oder nicht?), In demselben geografischen Gebiet zu sein. Ist es so einfach, die lokale SQL-Server-IP herauszufinden und die Firewall für den Webserver zu öffnen? Sind alle azurblauen Ressourcen an einem geografischen Ort Teil desselben Netzwerks? Muss ich ein VLAN irgendeiner Art erstellen? Sorry .... wahrscheinlich triviale Fragen, aber nicht zu wissen, die physikalische Architektur von Azure schafft Verwirrung für mich ..

Answer 1

Es gibt keine direkte lokale Verbindung für Azure SQL DB. Sie können nicht in ein virtuelles Netzwerk (obwohl eine Webanwendung mit einem VNET verbunden sein kann) platzieren.

Die Firewall-Option in Azure SQL, die Datenverkehr von Ihrer Web App ermöglicht Datenverkehr von alle Azure-Abonnement übrigens. Azure erkennt mit Sicherheit bösartige Versuche, in Azure SQL einzudringen und sie zu blockieren, wenn sie auftreten, aber Ihre Hauptverteidigungslinie ist Ihr Kennwort. Und Auditing hilft natürlich auch.

Answer 2

Also für den SQL-Teil (über PaaS sprechen), müssten Sie Allow access to Azure Services. Dadurch kann Ihre WebApp darauf zugreifen. Ich bin mir ziemlich sicher, dass, selbst wenn die Dienste in der gleichen Region sind, sie nicht intern sprechen werden (ich könnte mich hier irren). Sie sprechen 100% durch das Internet, wenn sie in verschiedenen Regionen sind.

Wenn Sie über SQL in einer VM auf Azure sprechen, können Sie eine VNet-Integration zwischen WebApp und Ihrem VNet (wo sich die VM befindet) erstellen, die den Datenverkehr intern ermöglichen würde. Dies würde es ihnen ermöglichen, intern sogar über die Azure-Region hinweg zu sprechen, aber Sie müssten zusätzliches VNet erstellen und Site-to-Site-VPN zwischen VNets erstellen.

Answer 3

Es klingt, als ob Sie aus der lokalen Infrastruktur kommen.

In Azure, denke ich, dass Sie in der Einrichtung eines einfachen virtuellen Netzwerks untersuchen möchten. Sie erhalten Zugriff auf die gleichen "physischen" Netzwerkbausteine ​​wie Routing-Tabellen, Subnetze, Firewalls, Gateways, ACLs usw. Sie können die Dinge sehr einfach halten, aber Sie haben die Flexibilität, diese Funktionen nach Bedarf in Zukunft einzuführen.

Sobald Ihr Netzwerk aufgestanden ist, können Sie problemlos Server in Ihren Subnetzen hinzufügen.

Natürlich ist all diese Vernetzung vollständig virtualisiert. Sie haben die Wahl, das Subnetz Ihres Netzwerks in der gleichen Region zu halten. Ich nehme an, dass die Netzwerkalgorithmen von Azure intelligent genug sind, um physische Server auszuwählen, die relativ nahe beieinander liegen, wenn Sie Ihre beiden Server demselben Subnetz hinzufügen.