我有一个访问存储帐户的应用服务。我想限制对存储帐户的访问,但只要我限制到特定网络和特定 IP 地址,就会出现 403 禁止访问的情况。
即使我从我的应用服务添加了所有出站 IP,我还是会收到 403 Forbidden 错误。
为什么会这样?如果我不能使用特定 IP 并且不想将我的应用服务链接到 VNet,那么保护我的存储的正确方法是什么?
答案1
您在此处看到的问题是,由于 Web 应用和存储帐户位于同一区域,因此流量实际上并未使用 Web 应用的公共 IP,而是通过内部网络并使用内部 IP。无法知道用于访问此 IP 的具体内部 IP,因此您无法在存储防火墙中将它们列入白名单。
目前只有几种方法可以解决这个问题:
- 将您的存储帐户和应用程序放在不同的区域(不理想)
- 使用 vNet join 让流量通过您的 vnet
- 使用 vNet 上的 ASE