如何使用Azure Firewall和Endpoint設置Azure SQL

    Azure Firewall的介紹

    Azure 防火墻是托管的基于云的網絡安全服務，可保護 Azure 虛擬網絡資源。 它是一個服務形式的完全有狀態防火墻，具有內置的高可用性和不受限制的云可伸縮性。可以跨訂閱和虛擬網絡集中創建、實施和記錄應用程序與網絡連接策略。 Azure 防火墻對虛擬網絡資源使用靜態公共 IP 地址，使外部防火墻能夠識別來自你的虛擬網絡的流量。 該服務與用于日志記錄和分析的 Azure Monitor 完全集成。

    endpoint的介紹

    虛擬網絡 (VNet) 服務終結點可通過直接連接將 VNet 的虛擬網絡專用地址空間和標識擴展到 Azure 服務。 使用終結點可以保護關鍵的 Azure 服務資源，只允許在客戶自己的虛擬網絡中對其進行訪問。 從 VNet 發往 Azure 服務的流量始終保留在 Azure 主干網絡中。

    服務終結點提供以下優勢：

•     提高 Azure 服務資源的安全性：VNet 專用地址空間可能重疊，因此不能用于唯一標識源自 VNet 的流量。 通過將 VNet 標識擴展到服務，服務終結點可以將對 Azure 服務資源的訪問限定到你的虛擬網絡。 在虛擬網絡中啟用服務終結點后，可以通過將虛擬網絡規則添加到資源，在虛擬網絡中保護 Azure 服務資源。 這完全消除了通過公共 Internet 對資源進行訪問的可能性，并僅允許來自自己虛擬網絡的流量，從而提高了安全性。

•     來自虛擬網絡的 Azure 服務流量的最佳路由：當前，虛擬網絡中強制 Internet 流量發往本地和/或虛擬設備的任何路由（稱為強制隧道）也會強制 Azure 服務流量采用與 Internet 流量相同的路由。 服務終結點為 Azure 流量提供最佳路由。

      終結點始終將直接來自虛擬網絡的服務流量轉發到 Azure 主干網絡上的服務。 將流量保留在 Azure 主干網絡上可以通過強制隧道持續審核和監視來自虛擬網絡的出站 Internet 流量，而不會影響服務流量。

• 設置簡單，管理開銷更少：不再需要使用虛擬網絡中的保留公共 IP 地址通過 IP 防火墻保護 Azure 資源。 無需使用 NAT 或網關設備即可設置服務終結點。 只需單擊一下子網，即可配置服務終結點。 不會產生與終結點維護相關的額外開銷。

    聽起來很不錯，但是endpoint實際上是個regional的服務，比如你得vnet在北一，paas服務在東一，這種場景下就算開啟了endpoint也不會有效果

這時候其實可以結合Azure firewall解決，前提是azure firewall部署在東一

    首先來看下沒有endpoint適合的訪問場景，因為默認路由指向FW，如果沒有FW的網絡規則允許訪問Azure SQL，訪問會被拒絕，即使加了Azure SQL白名單也沒用

    接下來，首先在FW上添加規則允許出站訪問azure sql，這里可以看到，和nsg類似，firewall里也可以以service tag來添加規則，很方便

    這次可以看到，提示我們沒有添加到白名單，但是起碼網絡肯定是通了

    這里把FW的IP添加進去，正常連接了

    可以看到源IP就是FW的IP

    接下來在firewall的subnet添加sql的endpoint

    之后，在azure sql添加允許firewall所在的subnet訪問

    這次再試一下，已經可以看到訪問的IP是firewall的內網IP了！