azure - 我们如何在具有相同入站和出站 IP 地址的一个网络中托管所有 Azure 资源？

Question

我在 Microsoft Azure 上工作已经有一段时间了。我正在使用 Azure 应用服务、Azure 云服务、Azure Batch 和 Azure Functions。

现在的问题是，它们有不同的入站和出站 IP 地址。因此，我必须将所有客户的 IP 地址列表添加到白名单中。

为了解决这个问题，我创建了虚拟网络和 NAT 网关，并将应用服务关联到虚拟网络。这帮助我获得了 AppService 的单个出站 IP 地址。在这种情况下，问题是并非所有资源都可以使用相同的 VNet 和 NAT 网关(或者我找不到方法)。此外，入站 IP 地址保持不同。

所以我的问题是:有没有什么方法可以在 azure 中创建一个网络，其中只有一个 IP 地址代表我所有资源的入站和出站 IP 地址？我可以通过单个防火墙控制进出流量吗？就像我们在物理内部网络中所做的那样。

经过一些研究，我还发现“应用程序服务环境”对我来说很有用。但我对此并不确定。我可以在同一应用服务环境中托管应用服务、云应用程序和批处理吗？在同一应用服务环境下托管的所有服务是否都会有一个 IP？如果有人能够判断应用服务环境是否满足我的需求，这将非常有帮助。

Answer 1

应用服务环境 (ASE) 仅支持 Azure Web 应用(应用服务)和 Azure Functions，不能在其中托管经典云服务或 Azure Batch。您可能想看看Azure NAT Gateway .

虚拟网络 NAT 是一项完全托管且高度灵活的网络地址转换 (NAT) 服务。虚拟网络 NAT 简化了虚拟网络的出站 Internet 连接。在子网上配置时，所有出站连接都使用虚拟网络 NAT 的静态公共(public) IP 地址。

NAT 网关可与 Azure 应用服务结合使用，以允许应用程序将出站流量从虚拟网络定向到 Internet。要在 NAT 网关和 Azure 应用服务之间使用此集成，必须启用区域虚拟网络集成。

典型的 NAT 设计可以在这里找到: https://learn.microsoft.com/en-us/azure/virtual-network/nat-gateway/nat-gateway-resource