是否有理由在云原生Azure解决方案中包含虚拟网络？

Question

我正在尝试理解在云原生Azure解决方案中包含虚拟网络是否有附加值。

例如，假设我正在Azure app Services上托管一个web应用程序。我能够将我的web应用连接到Azure存储帐户以保存数据。我还将我的Azure帐户连接到Azure密钥库以存储机密。

通过将Azure虚拟网络添加到我的后端(存储+密钥库)，是否有任何附加价值或安全性？

Answer 1

我认为应用服务的Azure集成v2有一定的价值(如果你配置那些PaaS产品的VNet服务端点\防火墙，流量将不会使用公共互联网访问其他PaaS产品)。但是对于VNet集成v1来说并不是很多。

实际上，这样做几乎没有什么好处(除非您对安全性有疑虑)，至少在App Services案例中是这样的。

Key Vault bit有更多的好处，这些不仅是安全方面的好处，而且更容易进行key\secret\configuration管理。这是有形的。

Answer 2

有充分的理由将你的Azure资源放入vnet中。

在大多数情况下，您将拥有不应该向Internet公开的后端资源，但需要能够访问应用程序中的其他资源。

你可以的

A)为每个资源创建防火墙规则，指定哪些公共IP地址可以访问它。

或

B)将资源放入vnet中，该vnet将默认将所有资源与公共互联网隔离，并使用网络安全组控制哪些资源可以访问其他资源，并指定哪些资源应该可以从公共互联网访问。

对于只有少量资源的非常简单的应用程序，这两种方法之间可能没有太大差异，但随着您的云存在的增长，以及随之而来的应用程序、服务和基础设施组件的数量，管理安全性将变得越来越困难。

当您的环境变得更加复杂时，使用具有网络安全组的vnet将使配置和维护组件之间的安全规则变得更容易，因此在一开始就将其构建到体系结构中是一种很好的做法。

Here is a good blog post on the topic