我有这样的设置:
- 存储帐户
- 一个网络应用程序
- 具有两个子网的 VNET
- 私人链接
私有链接位于子网 A 中,而 Web 应用则委托给子网 B。我有一个分配给存储帐户的私有链接
这确实有效。在进行名称解析时,我可以看到 IP 来自子网 A 范围
而且我可以完美地从存储账户请求数据。
现在我想切断公共流量。在我看来,我这样做的唯一方法是禁止来自所有网络的流量
但现在我无法从我的存储帐户请求数据。名称解析仍然正常工作,并且内部 IP 确实得到解析。
我肯定做错了。我怎样才能拒绝来自公共端点的流量,而只允许来自我的内部 IP 的流量?
我认为,一种解决方法是将子网 B 添加到允许的网络列表中。如果我这样做,存储服务端点将被添加到子网,名称解析仍在解析内部 IP,并且我可以获取数据。
这是唯一的、正确的解决方法吗?
答案1
目前是的。尽管 Web 应用将通过私有端点与存储帐户通信,但此特定配置仍要求存储帐户具有公共访问权限(不确定您是否可以对整个公共 IP 范围设置防火墙,并且它仍能正常工作)。
抱歉。我之前曾将此配置部署到测试环境中,但发现 MS 文档说目前还无法实现,但现在找不到链接。