Azure SQL 托管实例的网络要求之一是拥有 UDR 0.0.0.0/Next hop Internet,以允许从属于 Azure VNet 的私有子网和公共 Internet 进行访问。
为什么需要这样做,有什么风险?
1 回答
1
此规则旨在简单地覆盖可能导致不对称路由并干扰管理流量的常见BGP 广告。
在 BGP 通告更具体的前缀的情况下,这不足以确保管理流量,您需要定义 UDR 来覆盖通告的前缀。
请注意,0.0.0.0/0 下一跳类型 Internet 规则不会将所有流量路由到 Internet。下一个跃点始终是另一台设备——在本例中是位于 Azure 内部的 Internet 网关。它被称为 Internet 网关,因为它处理到公共 Azure IP 地址的路由。由于这些 IP 地址大多属于与托管实例并置的 Azure 服务,因此始终找到最短路径的网络流量将留在 Azure 内。
托管实例需要公共 Internet 访问以进行证书吊销验证,这是通过公共 Internet 完成的。证书吊销信息是公开的,因此不会以这种方式发送或接收任何秘密。证书验证信息也签名,防止回火。
除了 0.0.0.0 Next hop internet,您还可以设置有限的其他 UDR:
- 以私有 IP 范围* 作为目的地的 UDR,没有下一跳限制
- 如果下一跳类型是 Internet,则将公共 IP 范围作为目标的 UDR
*例外是必须具有下一跃点类型虚拟网络的托管实例子网目标 - 否则托管实例之间的连接可能会中断。
此约束将在未来放宽或删除,因此请务必查看 Azure SQL 托管实例文档以获取更新。
于 2019-01-17T23:58:03.443 回答