Azure网络的基本原理

每个子网都设有自己的网络安全组，并拥有如下规则：

对于DMZ来说 -

★入站

1. 允许来自于互联网端口443和80上的流量

2. 拒绝所有来自于互联网的其它入站流量

★出站

1. 允许所有出站流量，无论其目的地为何处

对于中间层来说 -

★入站

1. 允许来自于DMZ端口443的流量（这假设了中间层服务于Web服务）

2. 允许来自于域区域的入站流量

3. 阻止所有其它入站流量

★出站

1. 除了例外的出站流量外，阻止流向互联网的出站流量

对于数据库/域层来说 -

★入站

1. 允许域服务和SQL Server所需的来自于端口中间层的流量

2. 阻止所有其它入站流量

★出站

1. 阻止所有流向互联网的出站流量

请记住，如果我们想要获得更准确的控制，那我们随时都可以将独立的网络安全组附加至虚拟机。比如，我们可能会希望进一步过滤流向SQL Server虚拟机的流量——如根据使用情况，仅允许来自于中间层内的特定虚拟机的入站流量等。假设我们有三台SQL Server虚拟机，每台虚拟机的中间层内设有一台相关的应用程序服务器，如下所示：

1.SQLVM1 – APP1

2.SQLVM2 – APP2

3.SQLVM3 – APP3

我们希望APP1能够与SQLVM1，而不是与APP2或APP3进行通信，那我们就可以通过将SQLVM1的网络接口附加到另一个网络安全组并添加如下规则，从而实现这一目的：

1. 允许来自于APP1私人IP地址的端口1433上的流量

2. 允许来自于数据库/域层IP范围的端口1433上的流量

3. 阻止端口1433上的所有其它流量

然后，我们将为其它两台SQL Server 虚拟机重复相同的步骤。这样一来，我们就可以非常具体地了解流量如何才能（和不能）在您Azure VNet上的各资源之间进行流动。

将VNets和本地网络相连

最后，我们将讨论把不同的VNets连接在一起的原则，其中包括如何连接本地网络。在很大程度上，这不是数据库管理员的职责范围，但对这些概念有一个基本的了解仍然十分有用。例如，如果您要设置地理位置分布的AlwaysOn可用性组，那您就需要了解连接两个VNets的方法。

将两个或多个VNets连接在一起主要有两种方式：VNet peering和站点-站点VPN。

当您在同一Azure地理区域中设有多个VNets时，VNet peering就能派上用场了。例如，如果您需要高度分段的网络，但也需要VNets之间建立着一定程度的连接性，那您就可以使用VNet peering进行连接。此设置的好处包括：

·网络延迟率较低，因为所有的流量都是直接流过Azure骨干网的。

·您无需为VNet配对支付费用，不过您还是得为流过VNet配对的流量支付一定的费用。

另一方面，如果您需要将位于不同地理区域的VNets连接在一起，那就必须使用Azure VPN网关才行。这些网关会允许在区域之间建立安全的IPSec隧道，其中包括其它Azure VNets和本地网络。比如，您可以在本地网络和Azure网络之间建立连接，从而允许您在两个环境中轻松连接系统。您可以从多个级别的VPN网关中进行选择，不过您得确保自己选择的网关能满足您对带宽和连接数的需求。

值得注意的是，虽然存在这些内置选项，但您还是可以根据虚拟设备这类的事物来部署其它的解决方案。许多如Barracuda和Imperva这类的Azure主流供应商为您提供了很多解决方案，所以，如往常一样，这一切都取决于您的需求（当然，也取决于您网络团队的支持）。

总结

我们在本文中讨论了Azure网络的基本原理，并重点探讨了Azure网络的构建块，如VNets和子网。接着，我们提到了如何使用虚拟网络接口卡资源来将虚拟机连接到Azure VNets。 由于保护数据库服务器是我们的一个重点工作内容，所以我认为解释如何使用网络安全组来允许或阻止在Azure网络中流动的流量至关重要。最后，我们简要地讨论了如何使用VNet peering 和VPN网关，从而在虚拟网络之间建立连接的方法。正如我所说，这仅仅囊括了Azure网络的表层知识。与其它技术（存储、活动目录等）一样，作为一名DBA，我们即便不需要成为专家，但也需要了解语言和操作基础知识，因为这样我们才能保证SQL Server的顺利运行。