仅从应用程序服务、数据库服务器和特定 Internet 地址安全访问 Azure 存储帐户

问题描述 投票:0回答:1

我有一个名为“mystorage”的 Azure 存储帐户。我想确保只有以下人员具有对存储帐户中的文件和 blob 的读/写访问权限(其他所有内容都应被阻止):

  1. 来自 IP 地址 200.300.400.500 通过互联网发出的请求;
  2. 我的应用程序服务“myappservice”;
  3. 我的 Azure SQL 数据库服务器“dbserver”。

所有这些资产都位于同一区域。

我尝试在存储帐户与应用程序服务和数据库服务器之间设置虚拟网络,这导致所有访问被阻止。不过我很可能弄错了。

请让我知道如何完成上述任务。

azure azure-web-app-service azure-sql-database azure-storage azure-storage-files
1个回答
0
投票

仅从应用程序服务、数据库服务器和特定 Internet 地址安全访问 Azure 存储帐户

要启用从应用服务和 SQL 数据库到 Azure 存储帐户的安全连接,请按照以下步骤操作。

  1. 创建具有两个子网的 VNet:一个用于应用服务,另一个用于 SQL 数据库。

  2. Microsoft.Storage
    服务端点添加到两个子网。这将启用通过 Microsoft 主干网络从 
    App Service
    SQL Database
    Storage Account
    的出站连接。

enter image description here

  1. 在 Azure 存储帐户防火墙中允许两个子网,并将 IP 地址 
    200.300.400.500
    添加到防火墙规则中。

enter image description here

方法:2

  1. 要通过公共 IP 将流量从互联网路由到存储帐户,您可以创建 NAT 网关并将其与 
    App Service
    SQL Database
    子网关联。

注:

  1. NAT 网关仅用于出站流量。
  2. 如果您使用 NAT 网关,请禁用服务端点。

enter image description here

您可以通过导航至 NAT 网关 > 出站 IP 来找到 NAT 公共 IP。

enter image description here

  1. 将 NAT 网关公共 IP 添加到 
    Storage Account
    防火墙规则以允许流量。

enter image description here

参考从互联网IP范围授予访问权限

从虚拟网络授予访问权限

Azure NAT 网关集成

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.