Azure 如何确保VM和应用程序网关之间的通信安全?
我有一个非常简单的设置,带有一个应用网关(AG),它将流量发送到运行Ubuntu的虚拟机。AG加载了SSL证书。VM设置为只允许来自AG的传入流量,但它是HTTP连接。这是可行的,但我想确保VM和AG之间的通信安全。但是,我找不到任何相关设置或文档Azure 如何确保VM和应用程序网关之间的通信安全?,azure,Azure,我有一个非常简单的设置,带有一个应用网关(AG),它将流量发送到运行Ubuntu的虚拟机。AG加载了SSL证书。VM设置为只允许来自AG的传入流量,但它是HTTP连接。这是可行的,但我想确保VM和AG之间的通信安全。但是,我找不到任何相关设置或文档 如何加密应用程序网关和虚拟机之间的通信?我认为私有链接至少可以强制Azure网络上的流量,但私有链接只支持PaaS产品,其中VM是IaaS。您必须执行与api网关相同的操作,将证书加载到部署在虚拟机中的de服务中,并使用SSL协议公开此服务的API,
如何加密应用程序网关和虚拟机之间的通信?我认为私有链接至少可以强制Azure网络上的流量,但私有链接只支持PaaS产品,其中VM是IaaS。您必须执行与api网关相同的操作,将证书加载到部署在虚拟机中的de服务中,并使用SSL协议公开此服务的API,以便使用该证书对通信进行加密 根据部署服务所使用的技术的不同,实现方法也有所不同。例如,如果您使用的是SpringBoot,您可以在这里看到如何操作 但是,如果您希望能够连接到VM部署服务的唯一服务是AG,则可以使用相互tls
您必须执行与api网关相同的操作,将证书加载到虚拟机中部署的de服务中,并使用SSL协议公开此服务的api,以便使用该证书对通信进行加密 根据部署服务所使用的技术的不同,实现方法也有所不同。例如,如果您使用的是SpringBoot,您可以在这里看到如何操作 但是,如果您希望能够连接到VM部署服务的唯一服务是AG,则可以使用相互tls
我假设您在应用程序网关的后端设置中使用VM的私有IP。如果是这样,这意味着通信量将停留在您的VNET内,从而停留在Microsoft网络上,也停留在同一区域内。这里不需要像私有链接这样的东西
因此,您唯一可能做的就是在VM上启用SSL端点,并在AppGW和VM之间使用加密的HTTPS连接。我假设您在应用程序网关的后端设置中使用VM的私有IP。如果是这样,这意味着通信量将停留在您的VNET内,从而停留在Microsoft网络上,也停留在同一区域内。这里不需要像私有链接这样的东西
因此,您唯一可能做的就是在VM上启用SSL端点,并在AppGW和您的VM之间使用加密的HTTPS连接。是的,AG和VM共享一个vnet,但位于不同的子网上。考虑到在这个vnet上没有运行其他VM,我是否正确地假设SSL在我的情况下不是非常有用?通常AppGW确实用于SSL终止,这意味着您将以后的流量视为安全的。但是,如果您担心某些参与者嗅探Microsoft数据中心内的流量,那么在组件之间添加SSL加密是有意义的。是的,AG和VM共享一个vnet,但位于不同的子网上。考虑到在这个vnet上没有运行其他VM,我是否正确地假设SSL在我的情况下不是非常有用?通常AppGW确实用于SSL终止,这意味着您将以后的流量视为安全的。但是,如果您担心某些参与者嗅探Microsoft数据中心内的流量,则在组件之间添加SSL加密是有意义的。谢谢,我将签出mutual TLS作为选项。谢谢,我将签出mutual TLS作为选项。