Нужно ли указывать брандмауэру SQL Azure, чтобы он разрешал входящие запросы от моей службы приложений Azure?
У меня есть веб-API ASP.NET, развернутый на Веб-приложение службы приложений, и отдельный экземпляр SQL Azure. Я создал их с помощью шаблона Веб-приложение + SQL в Azure.
Я разрешил SQL Azure доступ к моему собственному локальному IP-адресу, чтобы я мог открыть его в SQL Server Management Studio.
На данный момент я также установил правило в настройках брандмауэра SQL Azure, чтобы разрешить все исходящие IP-адреса, на которых развернут мой Служба приложений. Я скопировал список исходящих IP-адресов моего Служба приложений из блейда Характеристики в настройках моего Служба приложений. Пожалуйста, смотрите ниже.
Но меня интересовали три вещи:
Изменит ли когда-нибудь Azure эти IP-адреса?
И если и когда это произойдет, мне придется заново вводить новые в настройках брандмауэра SQL Azure и удалять старые? Что, если я забуду старые, потому что их негде будет увидеть, и если я просто удалю все неправильные IP-адреса?
Нужно ли вообще предоставлять эти IP-адреса брандмауэру? Или достаточно просто включить переключатель Разрешить доступ к службам Azure? Но я полагаю, прочитав подсказку справки, что этот переключатель предназначен только для того, чтобы разрешить службам Azure, таким как редактор запросов и другие, доступ к вашей базе данных.
Ответы 3
- нет, не при обычных обстоятельствах, если это произойдет, вы заранее получите электронное письмо с предупреждением.
- называть их чем-то осмысленным?
- этого достаточно, но это излишество, вы можете сузить его до исходящих адресов
Я просто создал еще один совершенно новый API с совершенно новой базой данных SQL Azure и вообще не установил правило брандмауэра для разрешения входящих запросов от моего API, и API по-прежнему мог подключаться к базе данных. Странный. Таким образом, кажется, что нет необходимости устанавливать эти IP-адреса приложений службы Azure в брандмауэре SQL.
этого не должно быть. скорее всего он включен по умолчанию
Нет, нет необходимости устанавливать правила брандмауэра, чтобы разрешить вашим Веб-приложение службы приложений доступ к вашей базе данных SQL Azure.
Они будут прекрасно работать и без этого.
есть какие-то доказательства?
Я был тем, кто задал вопрос. Я попробовал это, и это сработало без установки этих правил. Смотрите мой комментарий к ответу 4c74356b41. О, я только что понял, что вы являетесь автором этого вопроса ... Вы можете попробовать это сами. Какие еще доказательства я должен предоставить в письменном сообщении?
я могу читать, вы можете показать какие-либо доказательства? я точно знаю, что без этого не получится
Попробуй сам. Я только что сделал. Вы? Вы можете знать, но вы должны попробовать.
я пробовал это много раз, я имею в виду, почему так сложно предоставить доказательство, если вы заставили его работать без этого. я не могу заставить его работать без этого флажка
Это мое ночное время. Кроме того, я не хочу тратить время на споры. Если вы так убеждены и обижены, что это работает, почему бы вам не предъявить доказательство того, что это не так?
нигде я не сказал, что я обижен, мне интересно. зачем мне тратить время на доказательство того, что это не работает, если я знаю, что это не работает. Проверял много раз ;)
MS не изменит ваши IP-адреса, не сообщив вам об этом (по крайней мере, до 1 месяца). Лучшей практикой является применение правил FW и ОТКЛЮЧЕНИЕ параметра «Разрешить доступ к службе Azure». Потому что, если кто-то взломает некоторые другие ваши ресурсы Azure, есть возможность добраться и до этой БД.
это не позволяет только вашим ресурсам получать доступ к брандмауэру sql, любым ресурсам Azure
Спасибо за разъяснения. Это было все, что мне было нужно.