Разрешить службам Azure (веб-приложению) доступ к учетной записи хранения с помощью исключения
Используя мое веб-приложение из службы приложений Azure, и для параметра брандмауэра учетной записи хранения установлено значение
Enabled from selected virtual networks and IP addresses
и я хочу, чтобы мое веб-приложение имело доступ к учетной записи хранения независимо от любой IP-сети, используя исключения, поэтому я включил следующую опцию
Allow Azure services on the trusted services list to access this storage account.
и все же файлы больших двоичных объектов недоступны из моего веб-приложения.
Требуются ли какие-либо другие настройки для этой работы?
Я попытался разрешить доступ с помощью виртуальной сети, создав новую виртуальную сеть и интегрировав ее с веб-приложением, и добавил ту же виртуальную сеть в настройки виртуальной сети учетной записи хранения, но проблема осталась.
Ответы 1
Вы не можете использовать исключения для доверенной службы Azure, чтобы предоставить доступ к встроенному ПО к вашему веб-приложению. https://learn.microsoft.com/en-us/azure/storage/common/storage-network-security?tabs=azure-portal#grant-access-to-trusted-azure-services
Существуют разные способы решения вашей проблемы в зависимости от того, насколько заблокированным должно быть ваше решение.
Но если вы хотите, чтобы ваше приложение было интегрировано в вашу виртуальную сеть:
Ознакомьтесь с настройкой конечной точки службы между виртуальной сетью и вашей учетной записью хранения. Затем вы можете установить правила микропрограммы учетной записи хранения с помощью подсети интеграции виртуальной сети.
Если вам нужна дополнительная блокировка, обратите внимание на частные конечные точки между учетной записью хранения и вашей виртуальной сетью.
Также убедитесь, что у вас правильно настроена авторизация, чтобы это не было проблемой доступа. Используйте политики доступа или, что еще лучше, управляемое удостоверение в веб-приложении.
И в зависимости от того, какое приложение вы развернули, вам может потребоваться добавить в него некоторые настройки, чтобы трафик к службе (учетной записи хранения) проходил через виртуальную сеть. Прочтите о таких настройках, как WEBSITE_VNET_ROUTE_ALL.
Если вы специально хотите использовать правила брандмауэра учетной записи хранения для ограничения доступа, тогда да, для этого потребуется интегрированное веб-приложение виртуальной сети (доступно не во всех планах обслуживания приложений), а затем либо конечная точка службы Microsoft.Storage в подсети виртуальной сети, либо настройка частных конечных точек из виртуальной сети в эту учетную запись хранения. Да, вы по-прежнему можете получить доступ к своему веб-приложению как обычно, затрагивается только исходящий трафик из веб-приложения. Пожалуйста, отметьте ответ выше как принятый для других читателей (ключевым моментом здесь является добавление конечной точки службы или частной конечной точки).
Спасибо, Андреас, я хочу, чтобы моя учетная запись хранения была доступна только из моего веб-приложения, из внешнего источника, к которому я должен получить доступ, если IP-адрес добавлен в правило брандмауэра хранилища. Не могу ли я добиться этого без vNet? Если нет, то даже с помощью виртуальной сети могу ли я получить доступ к своему веб-приложению из любой сети без каких-либо ограничений?