Azure

Azure 專用終結點和 ACL

  • March 6, 2021

我有這個設置:

  1. 儲存帳戶
  2. 一個網路應用程序
  3. 具有兩個子網的 VNET
  4. 私人連結

專用連結位於子網 A 中,webapp 被委派給子網 B。我有一個分配給儲存帳戶的專用連結

儲存帳戶專用連接

這實際上是有效的。在進行名稱解析時,我可以看到 IP 來自子網 A 範圍

名稱解析

我可以完美地從儲存帳戶請求數據。

現在我想切斷公共交通。如我所見,我這樣做的唯一方法是禁止來自所有網路的流量

允許來自無網路的流量

但現在我無法從我的儲存帳戶請求數據。名稱解析仍然可以正常工作,並且內部 IP 確實得到了解析。

我肯定做錯了。如何拒絕來自公共端點的流量,只允許來自我的內部 IP 的流量?

正如我所看到的,一種解決方法是將子網 B 添加到允許的網路列表中。如果我這樣做,儲存服務端點被添加到子網,名稱解析仍在解析內部 IP,我可以獲取數據。

這是解決方法,唯一且正確的方法嗎?

目前,是的。儘管 Web 應用程序將通過專用終結點與儲存帳戶通信,但此特定配置仍需要儲存帳戶具有公共訪問權限(不確定您是否可以為整個公共 IP 範圍設置防火牆並且它仍然可以工作)。

我很抱歉。我之前已經將此配置部署到測試環境中,並發現 MS 文件說目前不可能,但現在找不到連結。

引用自:https://serverfault.com/questions/1056034