Azure adatközpontok IP címei (2 legyet egy csapásra...) - System Center Mindenkinek - Site Home - TechNet Blogs

System Center Mindenkinek

A Microsoft Magyarország System Center és adatközpont megoldásokkal foglalkozó szakértőinek blog oldala

Azure adatközpontok IP címei (2 legyet egy csapásra...)

Azure adatközpontok IP címei (2 legyet egy csapásra...)

  • Comments 2
  • Likes

Többször találkoztam már azzal az igénnyel, hogy milyen publikus IPv4 címeken lehet elérni az Azure-ban futó szolgáltatásainkat/erőforrásainkat. Jelentem az Azure adatközpontok IPv4 címtartományai publikusak, tessék csak szemezgetni innen: http://www.microsoft.com/en-us/download/details.aspx?id=41653

(...és most jön a második légy)

Kérdés, hogy mit kezdünk ezzel a listával? Az igény ami miatt általában fel szokott merülni ez a kérdés, a következő: "Szeretném a vállalatom belső hálózatából üzemeltetési céllal (értsd RDP protokollal) elérhetővé tenni (vagy éppen korlátozni) az Azure -ban futó szolgáltatásokat/erőforrásokat." Ember legyen a talpán, vagy üzemeltető legyen a tűzfalon aki ekkor IP tartományokat bekrampácsol. De akkor mégis milyen lehetőségeim vannak? A következőket tudom javasolni:

  • IaaS célú felhasználás esetében ha legalább egy gép mindig fut a Cloud Service -en belül, akkor a Cloud Service publikus IPv4 címe állandó lesz. Erre a fix IP címre már van értelme egy tűzfal szabályt létrehozni. Ha nem fut állandóan egy virtuális gép a Cloud Service -en belül, akkor egy idő után elveszik a korábban használt cím és a következő gép elindításakor már másik publikus IP címe kapunk. Bővebben itt: http://msdn.microsoft.com/en-us/library/windowsazure/dn133803.aspx#BKMK_VNETFAQOther

  • Az Azure -ban futó gépeket valamilyen magas porton lehet elérni RDP protokoll segítségével. A gépeket konfiguráljuk úgy, hogy egy viszonylag szűk porttartományban legyenek elérhetőek az Internet felől (mondjuk 60000-60020) között, és az ebbe az irányba menő forgalmat engedélyezzük a tűzfalon. Security szempontból nem szép, de ha a többi lehetőség nem megoldható akkor ez egy kompromisszumos megoldás lehet.

  • Használjunk egy köztes hostot. Pl.: a belső hálózaton nevezzünk ki egy Terminal Servert (új nevén Remote Desktop kiszolgáló), ahonnan korlátlan Internet elérést engedélyezünk. Vagy éppenséggel csinálhatjuk a fordítottját is. Telepítsünk egy RDS Gateway szerepkört az Azure -ba, és HTTPS -en keresztül érjük el az ott futó gépeinket.

  • Mind közül talán a legszebb megoldás, ha létrehozunk egy Site-to-Site vagy Point-to-Site VPN kapcsolatot és azon keresztül menedzseljük a gépeket. Elvégre a távoli telephelyünkön, hosting szolgáltatónál stb. elhelyezett gépünket sem mindig az Interneten keresztül érjük el...

Ha valakinek még eszébe jut valamilyen megoldás a fenti témára, postolja bátran.

Attila

Comments
  • SSTP VPN az IaaS-ban futó géphez. ;) Az SSTP a legtöbb tűzfalon úgy megy át mint a kés a vajon. Éljen az univerzális tűzfalátjáró protokoll.

  • Zoli, van ilyen, ez a PtS (Point to Site) VPN, ami egy SSTP gyakorlatilag. Csak még preview.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment