Security 如何保护部署到虚拟网络的Azure角色？

我试图在代理后面放置一个web角色。我将代理作为web角色（proxy role），还有代理要保护的另一个web角色（Secured role）。代理将接受传入流量，对其进行身份验证，然后阻止它或将其传递给web角色。这些角色部署到单个虚拟网络

一个选项是仅打开受保护角色上的内部端点，并与具有输入端点的代理角色一起部署（如上所述）。通过这种方式，代理角色是可公开访问的，而安全角色则不是。但是，代理角色可以将经过身份验证的流量传递给安全角色上的内部端点

此选项存在以下问题：

• 仅适用于角色
• 这些角色必须一起部署
• 受保护角色上的内部终结点未进行负载平衡

最初看起来是另一种选择，即在部署这些角色的虚拟网络中有多个子网。代理角色将位于一个子网中，安全角色将位于另一个子网中。然后，将使用ACL保护对放置安全角色的子网的访问。问题在于ACL仅用于虚拟机，而不是所述的角色

---

还有一种选择是拥有两个虚拟网络，一个用于代理角色，另一个用于安全角色。但是，无法确保包含安全角色的虚拟网络只能由包含代理角色的虚拟网络访问。虚拟网络网关的概念似乎只适用于内部部署到云的通信，而不适用于虚拟网络之间的通信。

您看过Azure服务总线吗

让您的应用程序跨私有和公共云环境保持连接 Windows Azure服务总线为提供消息传递通道 将云应用程序连接到本地应用程序， 服务和系统

---

Thx，我研究了它，但我不知道如何应用Serivce总线或Serivce总线继电器来解决我的场景。我看到它如何提供类似的功能，但不是我所需要的。