限制從Azure VM訪問Azure SQL

Question

由於Azure SQL只有DNS地址，並且沒有IP，所以我們無法在我們的Azure應用程序虛擬機上強制實施ACL/NSG，因爲它需要與我們的Azure SQL進行通信。 僅ACL/NSG有IP範圍限制..沒有DNS限制..

因此，潛在地，一個設法潛入我們的Azure應用程序虛擬機的黑客，可以推動其被盜取的數據到他想要的任何IP，只要他外出端口1433.

無論如何，我們可以將Azure虛擬機的出站通信限制到我們的Azure SQL？

Answer 1

你是對的，你不能在一個虛擬網絡（VNet）中放置一個Azure SQL數據庫。另外，只能將NSG出站安全規則配置爲使用將通信限制爲Internet，Azure負載平衡器或Azure流量管理器端點的標記。因此，不幸的是，目前無法將具有NSG的Azure VM限制爲只能通過端口1433與特定的Azure SQL數據庫進行通信。

但是，另一方面，您可以限制Azure SQL數據庫防火牆規則只允許Azure VM通過在SQL數據庫防火牆規則中指定其IP地址來連接到數據庫。