Azure 专用终结点和 ACL

Azure 专用终结点和 ACL

我有这样的设置:

  1. 存储帐户
  2. 一个网络应用程序
  3. 具有两个子网的 VNET
  4. 私人链接

私有链接位于子网 A 中,而 Web 应用则委托给子网 B。我有一个分配给存储帐户的私有链接

存储帐户专用连接

这确实有效。在进行名称解析时,我可以看到 IP 来自子网 A 范围

名称解析

而且我可以完美地从存储账户请求数据。

现在我想切断公共流量。在我看来,我这样做的唯一方法是禁止来自所有网络的流量

不允许来自任何网络的流量

但现在我无法从我的存储帐户请求数据。名称解析仍然正常工作,并且内部 IP 确实得到解析。

我肯定做错了。我怎样才能拒绝来自公共端点的流量,而只允许来自我的内部 IP 的流量?

我认为,一种解决方法是将子网 B 添加到允许的网络列表中。如果我这样做,存储服务端点将被添加到子网,名称解析仍在解析内部 IP,并且我可以获取数据。

这是唯一的、正确的解决方法吗?

答案1

目前是的。尽管 Web 应用将通过私有端点与存储帐户通信,但此特定配置仍要求存储帐户具有公共访问权限(不确定您是否可以对整个公共 IP 范围设置防火墙,并且它仍能正常工作)。

抱歉。我之前曾将此配置部署到测试环境中,但发现 MS 文档说目前还无法实现,但现在找不到链接。

相关内容