Как разрешить доступ по IP-адресу к StorageAccount в виртуальной сети Azure?
У нас есть сценарий, в котором наша учетная запись хранения внутри виртуальной сети ограничена доступом к определенному диапазону общедоступных IP-адресов. Как разрешить доступ к этой учетной записи хранения внутри виртуальной сети? Должны ли мы создать Службу приложений? Как разрешить доступ через виртуальную сеть?
@VenkatV Я попробовал настроить NSG с правилом для входящего трафика: «Источник — Любой» и «Назначение — Виртуальная сеть». Мне не удалось получить доступ к контейнеру в учетной записи хранения. Нужно ли нам указывать какой-либо общедоступный IP-адрес или какую-либо другую настройку?
Вы можете использовать опцию «Брандмауэр хранилища», чтобы разрешить определенный IP-трафик для учетной записи хранения. Как показано здесь. Если вы получаете доступ к учетной записи хранения из-за пределов виртуальной сети, например общедоступный IP-адрес, вам необходимо добавить эти общедоступные IP-адреса в раздел «Брандмауэр».
Ответы 2
Для этого выберите свою учетную запись хранения и настройки сети.
После этого выберите — Включено для выбранных виртуальных сетей и IP-адресов.
И, наконец, добавьте свою виртуальную сеть, нажав «Добавить существующую виртуальную сеть».
Кроме того, вы также можете настроить там настройки брандмауэра.
Надеюсь, это поможет вам
нужно ли нам добавлять IP-адрес в разделе «Брандмауэр» даже после указания виртуальной сети? И как совместить его с NSG?
Если это внешний IP, то да, я считаю, что вам все равно нужно указать их в брандмауэре.
Включение правил брандмауэра для вашей учетной записи хранения по умолчанию блокирует входящие запросы на данные, если только запросы не исходят от службы, которая работает в виртуальной сети Azure, или от разрешенных общедоступных IP-адресов. К заблокированным запросам относятся запросы от других служб Azure, портала Azure, а также служб ведения журналов и метрик.
Как правильно заметил Венкат, чтобы разрешить доступ по IP к учетной записи хранения внутри виртуальной сети в Azure, вы можете настроить сетевые правила для предоставления доступа к трафику из определенных виртуальных сетей и диапазонов общедоступных IP-адресов. Вы также можете добавить исключения, чтобы разрешить доступ доверенных служб, необходимых для таких операций, как резервное копирование данных, ведение журналов и метрик.
Следуйте инструкциям ниже:
Если вы создаете новую учетную запись хранения, выберите «Включить доступ к сети из выбранной виртуальной сети и IP-адреса».
Если учетная запись хранения уже создана, измените ее на вкладке «Сеть», как показано ниже, чтобы разрешить указанный IP-адрес для учетной записи хранения.
Например, прежде чем включить эту опцию в разделе «Сеть» -> «Брандмауэр», мне не удалось получить доступ к контейнеру.
после добавления общедоступного IP-адреса в настройках брандмауэра я могу получить доступ к контейнеру хранилища со своего локального компьютера.
Использованная литература:
Вы можете выбрать «Включено» для выбранных виртуальных сетей и IP-адресов в брандмауэре хранилища, чтобы разрешить определенным IP-адресам и виртуальным сетям доступ к учетной записи хранения, как показано здесь . Альтернативно вы можете создать группу безопасности сети и добавить правило типа это, чтобы ограничить доступ IP-адресов к виртуальной сети.