Azure adatközpontok IP címei (2 legyet egy csapásra...)

Többször találkoztam már azzal az igénnyel, hogy milyen publikus IPv4 címeken lehet elérni az Azure-ban futó szolgáltatásainkat/erőforrásainkat. Jelentem az Azure adatközpontok IPv4 címtartományai publikusak, tessék csak szemezgetni innen: http://www.microsoft.com/en-us/download/details.aspx?id=41653

(...és most jön a második légy)

Kérdés, hogy mit kezdünk ezzel a listával? Az igény ami miatt általában fel szokott merülni ez a kérdés, a következő: "Szeretném a vállalatom belső hálózatából üzemeltetési céllal (értsd RDP protokollal) elérhetővé tenni (vagy éppen korlátozni) az Azure -ban futó szolgáltatásokat/erőforrásokat." Ember legyen a talpán, vagy üzemeltető legyen a tűzfalon aki ekkor IP tartományokat bekrampácsol. De akkor mégis milyen lehetőségeim vannak? A következőket tudom javasolni:

• IaaS célú felhasználás esetében ha legalább egy gép mindig fut a Cloud Service -en belül, akkor a Cloud Service publikus IPv4 címe állandó lesz. Erre a fix IP címre már van értelme egy tűzfal szabályt létrehozni. Ha nem fut állandóan egy virtuális gép a Cloud Service -en belül, akkor egy idő után elveszik a korábban használt cím és a következő gép elindításakor már másik publikus IP címe kapunk. Bővebben itt: http://msdn.microsoft.com/en-us/library/windowsazure/dn133803.aspx#BKMK_VNETFAQOther

• Az Azure -ban futó gépeket valamilyen magas porton lehet elérni RDP protokoll segítségével. A gépeket konfiguráljuk úgy, hogy egy viszonylag szűk porttartományban legyenek elérhetőek az Internet felől (mondjuk 60000-60020) között, és az ebbe az irányba menő forgalmat engedélyezzük a tűzfalon. Security szempontból nem szép, de ha a többi lehetőség nem megoldható akkor ez egy kompromisszumos megoldás lehet.

• Használjunk egy köztes hostot. Pl.: a belső hálózaton nevezzünk ki egy Terminal Servert (új nevén Remote Desktop kiszolgáló), ahonnan korlátlan Internet elérést engedélyezünk. Vagy éppenséggel csinálhatjuk a fordítottját is. Telepítsünk egy RDS Gateway szerepkört az Azure -ba, és HTTPS -en keresztül érjük el az ott futó gépeinket.

• Mind közül talán a legszebb megoldás, ha létrehozunk egy Site-to-Site vagy Point-to-Site VPN kapcsolatotés azon keresztül menedzseljük a gépeket. Elvégre a távoli telephelyünkön, hosting szolgáltatónál stb. elhelyezett gépünket sem mindig az Interneten keresztül érjük el...

Ha valakinek még eszébe jut valamilyen megoldás a fenti témára, postolja bátran.

Attila