Hoje, o Azure Connect é a solução, e é como você descreve: Instale o agente em cada máquina para ser adicionado à sua rede virtual. Tenha isso em mente, enquanto discute isso com seus administradores:
- É uma conexão VPN segura entre a máquina local e suas instâncias do Azure
- Você pode limitar seu grupo de conexão a uma função ou a um papel específico. Portanto, digamos que você tenha instâncias da Web Role lidando com o tráfego da Web e instâncias de Worker Role lidando com a lógica de negócios e o acesso ao banco de dados. Você pode configurar um grupo do Connect com sua caixa do SQL Server mais apenas a função de trabalho. Nesse caso, suas instâncias de função da Web teriam visibilidade zero para a caixa do SQL Server (esse é um bom detalhe, ao discutir isso com seus administradores de TI).
- Você gerencia o grupo do Connect. Em outras palavras, mesmo se você pegasse o agente e o colocasse em um download público do ftp para o mundo ser instalado, nenhum desses computadores seria capaz de se conectar ao seu Grupo Connect - você deve gerenciar o grupo , adicionando / removendo máquinas explicitamente. Para isso, você deve ter acesso à sua assinatura como admin / co-admin.
Lembre-se de mais uma coisa: o Azure Connect, durante a conexão por meio do IPv4, cria um túnel IPv6. O SQL Server e o AD devem funcionar bem com o IPv6 (não tive problemas com a conexão com uma caixa do SQL Server no local).