Azure 应用服务 - 通过 vnet 路由流量 - 是否进行 IP 转换？答案

【问题标题】：Azure app service - routing traffic through vnet - does IP translation take place?Azure 应用服务 - 通过 vnet 路由流量 - 是否进行 IP 转换？
【发布时间】：2017-04-12 17:08:08
【问题描述】：

我有一个 azure 应用服务，其中包含一个从 Web 服务获取数据的 Web 作业。网络属性显示 webjob 有几个出站 IP，它们是公共 Azure IP 地址。

我知道 Web 服务应用程序可以配置为通过 VNET 路由流量，但是，我不清楚 IP 是否转换为 VNET 中的本地 IP，或者 Azure 公共 IP 是否保留。如果网络上有防火墙阻止外部 IP，这显然会产生影响。这是否也意味着返回路线可以通过互联网而不是通过网络？（尤其是如果流量通过 VPN 并在 Azure 之外上升 - 肯定是 40。一些公共的天蓝色地址会强制通过互联网返回，这可能并不总是可能的）。

【问题讨论】：

您的意思是，您屏蔽了一些公共 IP 地址，然后使用 Web 应用程序与这些 IP 进行通信，您想确保防火墙会阻止来自被屏蔽 IP 的网络流量吗？
我想知道到 VNET 的连接是否有任何 IP 地址转换。或者，如果保留公共互联网 IP。我认为这可能会在将其与 VPN 一起使用时引起问题，因为我不确定返回路径如何知道使用 VPN 而不是通过 Internet 路由。
在 Azure 中，我们无法强制 Internet 网络流量通过 P2S 和 S2S VPN，并且公共 IP 地址不会转换为内部 IP 地址。
我正在考虑与本地服务通信 - 在这种情况下，没有互联网连接，这就是网络作业使用的公共 IP 可能有问题的原因。

标签： azure azure-virtual-network azure-app-service-envrmnt

【解决方案1】：

我不清楚IP是否被翻译成本地IP VNET，或者如果保留 Azure 公共 IP。

据我所知，当我们使用公共 IP 地址进行互联网通信时，公共 IP 地址不会转换为内部 IP。

我认为在我使用 VPN 时这可能会导致问题不确定返回路径如何知道使用 VPN 而不是通过互联网路由。

当我们使用 Azure P2S 或 S2S VPN 时，我们不能强制互联网流量通过 VPN 隧道。

更新：

【讨论】：

这是否意味着无法与 VPN 另一端无法访问互联网的资源进行通信？我们将 wejob 流量路由到 VNET，这会通过 VPN，服务器响应 webjob IP 地址，因为它没有对 Internet 的出站访问，所以它不能这样做。响应必须通过 VPN，它不能这样做，因为它没有本地 IP。
是的，VPN只是用来互相通信的。
看你的图，我不确定每台机器到底是什么。在我的示例中，我只有 VPN 上的资源和网络作业。但是我相信他们无法通信，因为 Internet IP - 这会迫使服务器通过 Internet 而非 VPN 进行回复。
“我正在考虑与本地服务通信”，您是指本地服务吗？
你是对的，流量将通过互联网，而不是通过 VPN。