Azure adatközpontok IP címei (2 legyet egy csapásra…)


Többször találkoztam már azzal az igénnyel, hogy milyen publikus IPv4 címeken lehet elérni az Azure-ban futó szolgáltatásainkat/eroforrásainkat. Jelentem az Azure adatközpontok IPv4 címtartományai publikusak, tessék csak szemezgetni innen: http://www.microsoft.com/en-us/download/details.aspx?id=41653

(…és most jön a második légy)

Kérdés, hogy mit kezdünk ezzel a listával? Az igény ami miatt általában fel szokott merülni ez a kérdés, a következo: "Szeretném a vállalatom belso hálózatából üzemeltetési céllal (értsd RDP protokollal) elérhetové tenni (vagy éppen korlátozni) az Azure -ban futó szolgáltatásokat/eroforrásokat." Ember legyen a talpán, vagy üzemelteto legyen a tuzfalon aki ekkor IP tartományokat bekrampácsol. De akkor mégis milyen lehetoségeim vannak? A következoket tudom javasolni:

  • IaaS célú felhasználás esetében ha legalább egy gép mindig fut a Cloud Service -en belül, akkor a Cloud Service publikus IPv4 címe állandó lesz. Erre a fix IP címre már van értelme egy tuzfal szabályt létrehozni. Ha nem fut állandóan egy virtuális gép a Cloud Service -en belül, akkor egy ido után elveszik a korábban használt cím és a következo gép elindításakor már másik publikus IP címe kapunk. Bovebben itt: http://msdn.microsoft.com/en-us/library/windowsazure/dn133803.aspx#BKMK_VNETFAQOther
  • Az Azure -ban futó gépeket valamilyen magas porton lehet elérni RDP protokoll segítségével. A gépeket konfiguráljuk úgy, hogy egy viszonylag szuk porttartományban legyenek elérhetoek az Internet felol (mondjuk 60000-60020) között, és az ebbe az irányba meno forgalmat engedélyezzük a tuzfalon. Security szempontból nem szép, de ha a többi lehetoség nem megoldható akkor ez egy kompromisszumos megoldás lehet.
  • Használjunk egy köztes hostot. Pl.: a belso hálózaton nevezzünk ki egy Terminal Servert (új nevén Remote Desktop kiszolgáló), ahonnan korlátlan Internet elérést engedélyezünk. Vagy éppenséggel csinálhatjuk a fordítottját is. Telepítsünk egy RDS Gateway szerepkört az Azure -ba, és HTTPS -en keresztül érjük el az ott futó gépeinket.
  • Mind közül talán a legszebb megoldás, ha létrehozunk egy Site-to-Site vagy Point-to-Site VPN kapcsolatot és azon keresztül menedzseljük a gépeket. Elvégre a távoli telephelyünkön, hosting szolgáltatónál stb. elhelyezett gépünket sem mindig az Interneten keresztül érjük el…

Ha valakinek még eszébe jut valamilyen megoldás a fenti témára, postolja bátran.

Attila

Comments (2)

  1. Anonymous says:

    SSTP VPN az IaaS-ban futó géphez. 😉 Az SSTP a legtöbb tűzfalon úgy megy át mint a kés a vajon. Éljen az univerzális tűzfalátjáró protokoll.

  2. Tamas GAL says:

    Zoli, van ilyen, ez a PtS (Point to Site) VPN, ami egy SSTP gyakorlatilag. Csak még preview.