В настоящее время Azure не разрешает доступ к базам данных SQL через конечную точку службы через шлюз VPN.Моя идея обойти это ограничение - настроить виртуальную машину Azure для функционирования в качестве прокси-сервера, чтобы все взаимодействие с базой данных SQL осуществлялось через этот экземпляр (чей трафик к базе данных SQL и из нее затем можно направлять через конечную точку службы).Однако мне не удалось заставить это решение работать и я мог воспользоваться некоторыми рекомендациями.
Мои настройки:
У меня настроена среда AWS с VPN-подключением, установленным длямоя среда Azure.У меня есть частная размещенная зона, настроенная с помощью Route53, чтобы разрешить доменное имя моей базы данных SQL в общедоступный IP-адрес соответствующей региональной конечной точки Microsoft.Sql (это IP-адрес, к которому обращается имя домена моей базы данных SQL при доступеБаза данных SQL от моей прокси-виртуальной машины).Моя таблица маршрутов настроена для пересылки трафика на этот IP-адрес через мой виртуальный частный шлюз.
На стороне Azure у меня есть таблица маршрутов моей подсети шлюза, настроенная для пересылки трафика, предназначенного для региональной конечной точки Microsoft.Sql.общедоступный IP-адрес моей прокси-виртуальной машины, как если бы это было виртуальное устройство.Сетевой интерфейс прокси-виртуальной машины настроен на разрешение пересылки IP.Таблица маршрутизации, подключенная к подсети виртуальной машины-посредника, настроена на маршрутизацию трафика, предназначенного для частного CIDR моего AWS VPC, через шлюз VPN.
Для простоты группы безопасности в средах AWS и Azureнастроены для разрешения всего входящего и исходящего трафика между частными IP-адресами обеих сред и общедоступным IP-адресом региональной конечной точки Microsoft.Sql.
Что в настоящее время работает:
Мой экземпляр EC2 в AWS VPC может пропинговать и подключаться к моей прокси-виртуальной машине через VPN через свой частный IP-адрес.Прокси-виртуальная машина может обращаться к моей базе данных SQL через конечную точку службы, используя свой частный IP-адрес.
Что не работает:
Я не могу успешно пропинговать или ssh впрокси-виртуальная машина из моего экземпляра EC2, пытаясь подключиться к региональному общедоступному IP-адресу Microsoft.Sql (тот, который я настроил для перенаправления на прокси-виртуальную машину), а также имя домена моей базы данных SQL (запись, которую я настроил вRoute53 для регионального публичного IP-адреса Microsoft.Sql).Когда я выполняю захват пакета на прокси-виртуальной машине, я не вижу входящий трафик из моего экземпляра EC2.Трафик увеличивается, как это принято в моих журналах потока VPC.
Я понимаю, что для этого предназначены управляемые экземпляры базы данных SQL, однако у меня нет возможности использовать эту службу.
В настоящее время я не настроил переадресацию с iptables и не настроил какую-либо специальную настройку хоста на прокси-виртуальной машине, так как сначала я хотел увидеть, как сетевой трафик обнаруживается при захвате пакета, а затем проверить, могу ли я успешно подключиться к экземпляру прокси-виртуальной машины перед попыткойнастроить переадресацию в базу данных SQL любого типа.
Кроме того, возможно ли даже такое решение обойти ограничения конечных точек службы в Azure?
Спасибо и наилучшие пожелания.