【问题标题】:Azure Private Endpoint - Listening restrictionsAzure 专用终结点 - 侦听限制
【发布时间】:2021-07-24 20:31:50
【问题描述】:

我在尝试连接到 SQL Server 专用端点时遇到了一些令人非常沮丧的问题。暂时搁置问题的完整说明,我想回答以下问题

  1. SQL Server 专用终结点是否只会侦听来自 Azure 虚拟机的连接?我已经看到第 3 方建议是这种情况,但找不到 MS 明确记录的情况。 (澄清一下,如果只有 VM 可以连接,那么这将意味着,例如,Azure 负载均衡器无法使用专用终结点作为后端资源;并且,例如,本地 VM 无法连接到专用通过 VPN 的端点 - 对吗?)

  2. 假设上述问题的答案是肯定的,那么限制是否适用,例如阻止 Private Endpoint 侦听从 Azure VM 接口转发的连接?

(例如,假设 Azure 中的 VM 中的防火墙。在防火墙 VM 中,配置了 IP 192.168.0.10。在 Azure 中,VM 接口仅与一个 IP 地址相关联,即 IP 192.168.0.6。在这种情况下,防火墙 VM 将使用 ARP 响应“我有 192.168.0.10”来响应 ARP 请求,但 Azure 配置不会将 192.168.0.10 与任何 Azure 虚拟网络接口相关联。在这种情况下,将连接到Private Endpoint 使用源地址 192.168.0.10 工作吗?还是 PE 只会监听源地址 192.168.0.6 的连接?)

【问题讨论】:

    标签: azure azure-virtual-network azure-private-link


    【解决方案1】:

    回答您的问题:

    1. 可以在 Azure 负载均衡器中使用专用终结点作为后端,因为 Azure LB 支持 NIC 或 IP 地址作为后端目标。此外,本地虚拟机肯定可以通过 VPN 隧道连接到专用端点,请阅读this document 了解更多详细信息。
    2. 默认情况下,VM 将所有出站流量发送到分配给主网络接口的主 IP 配置的 IP 地址。所以它在连接到私有端点时会使用源地址192.168.0.6。读取网络接口constraints

    【讨论】:

    • 感谢您的回复南希。我仍然难以完成这项工作,这可能与转发流量有关。我在与 Azure VM 相同的子网上有一个专用终结点。我可以看到数据包离开接口的目标是私有端点,但没有任何返回。它没有响应。
    • 在 Azure 中,VM 配置为 10.0.0.133。专用端点是 10.0.0.135。两者都在同一个子网上。源地址为 10.0.0.201 的数据包离开目标为 10.0.0.135 的 VM。我们可以看到这是实时发生的,但专用端点根本没有响应。什么都没有回来。 (为什么哦为什么?)
    • IP 10.0.0.133 和 10.0.0.201 是什么?为了测试,您可以禁用 VM 内的防火墙吗?主网络接口的主 IP 配置是什么?
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2020-02-11
    • 2020-06-29
    • 2021-11-16
    • 1970-01-01
    • 2023-03-06
    • 2021-09-05
    • 1970-01-01
    相关资源
    最近更新 更多