2012-08-22 186 views
4

我正在嘗試鎖定充當Web應用程序的應用程序服務器的虛擬機。我有兩個VM:一個用於應用程序服務器,另一個用於運行Web服務器。我必須打開大量端口才能讓Web服務器與某些wcf服務通話,但我只想允許來自Web服務器的連接以及該網絡外部的任何連接。爲了讓Web服務器訪問wcf服務,我必須添加端點,但這也使得它們可以訪問公共IP。我怎麼能只允許在只允許本地網絡連接到Windows Azure虛擬機?

回答

2

虛擬機的這種流量,從託管服務外訪問端口的唯一途徑是通過定義輸入端點(帶或不帶負載平衡跨一組機器)。在你的情況下,你只需打開80和443,專門用於你的web服務器(例如不負載平衡)。這被認爲是端口轉發端點,因爲這兩個端口上的流量會直接轉發到您的Web服務器。爲了更清楚地瞭解端口轉發的端點,我建議Michael Washam的博客文章here

在這一點上,你會打開你的應用服務器上的各種其他端口(通過其防火牆配置),現在你的Web服務器可以傾訴的應用服務器,但外界將無法到達應用服務器。 注意:我假設您將您的Web服務器和應用程序服務器放在同一個託管服務中。否則,您需要找到不同的方式來連接網絡和應用服務器,例如配置虛擬網絡。

編輯6/5/2013現在,您可以在輸入端點上啓用ACL,允許(或阻止)IP範圍。今天,ACL只能通過PowerShell進行管理,2013年6月更新。請參閱this post瞭解更多信息。

0

機相同的虛擬網絡上存在就能只要本地防火牆已經打開這些端口來相互交談。這個問題與我的應用程序中的配置有關,並不是因爲這個原因。我也沒有打開正確的端口。現在它像一個魅力。