Мое развернутое приложение не очень сложное и не требует выделенной виртуальной машины Azure.
По сути, это служба приложений Azure (со слотами развертывания), для которой требуется база данных Azure SQL, она хранит некоторые данные в хранилище BLOB-объектов Azure, ей требуется хранилище ключей Azure, и я хочу добавить пару приложений-функций Azure, но... ни одно из этих приложений не находится в виртуальной сети.
Я мог бы создать виртуальную сеть и создать в ней конечные точки для всех этих ресурсов, но не уверен, что это что-то даст мне с точки зрения безопасности или управления.
Итог: действительно ли мне нужна VNet для системы, в которой не запущены никакие Azure VM? Является ли это более безопасным, чем позволить App Service напрямую обращаться к другим ресурсам?
решение1
Вам не нужна VNet и чтобы ваше решение заработало. Я построил решения, похожие на ваши, как с VNet, так и без нее.
Наличие виртуальной сети дает вам некоторые преимущества в плане безопасности.
С помощью VNet и Endpoints ваш сайт App Service Site может затем взаимодействовать с вашей базой данных Azure SQL и хранилищем через частный IP. Удерживая трафик вдали от публичного Интернета. Важно, что это означает, что вы можете затем заблокировать весь публичный доступ к вашей базе данных Azure SQL и хранилищу или, по крайней мере, ограничить его только вашим публичным IP-адресом управления.
Лично я обнаружил, что использование VNet более стабильно и безопасно. Но это зависит от решения, насколько оно должно быть безопасным, есть ли какие-либо риски GDPR или защиты данных.
Я всегда возвращаюсь к вопросу с облачными решениями. Если бы я создавал это как локальное решение, сделал бы свои SQL и файловые серверы общедоступными, если бы был другой способ.
Спасибо, Фил.