Шаблон ARM учетной записи хранения, разрешающий трафик из всей виртуальной сети

Question

Есть ли способ разрешить трафик в учетной записи хранения, созданной с помощью шаблона ARM из ВСЕГО vnet?В настоящее время у меня есть это:

{
      "apiVersion": "2018-02-01",
      "kind": "Storage",
      "location": "[resourceGroup().location]",
      "name": "[variables('nsg-storage-account-name')]",
      "properties": {
        "networkAcls": {
          "bypass": "AzureServices",
          "virtualNetworkRules": [
            {
              "id": "[ variables('vnet_storageSubnetId') ]",
              "action": "Allow"
            }
          ],
          "defaultAction": "Deny"
        }
      },
      "sku": {
        "name": "[parameters('diagnosticsStorageAccountType')]"
      },
      "type": "Microsoft.Storage/storageAccounts"
    }

Что заставляет меня выбрать определенную подсеть, но я бы хотел всю VNET, так как там почти 20 подсетей, я должен буду включить

Answer 1

, чтобы добавить к существующему ответу.вам нужно создать массив с каждой подсетью, вам также нужно будет повторить это на стороне vnet \ subnet (включенные конечные точки службы).

Answer 2

Сетевая группа безопасности может быть связана с сетевым интерфейсом, подсетью, в которой находится сетевой интерфейс, или обоими.Вот почему он запрашивает у вас подсеть, нет возможности применить NSG ко всей виртуальной сети.

Можно настроить учетные записи хранения, чтобы разрешить доступ только из определенных виртуальных сетей.

Включить конечную точку службы для хранилища Azure в виртуальной сети.Эта конечная точка дает трафику оптимальный маршрут к службе хранилища Azure.Идентификационные данные виртуальной сети и подсети также передаются с каждым запросом.Затем администраторы могут настроить сетевые правила для учетной записи хранения, которые позволяют получать запросы из определенных подсетей в виртуальной сети.Клиенты, которым предоставлен доступ через эти сетевые правила, должны продолжать удовлетворять требованиям авторизации учетной записи хранения для доступа к данным.

Каждая учетная запись хранения поддерживает до 100 правил виртуальной сети, которые можно комбинировать с правилами IP-сети.

Источники:

• https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security?toc=%2fazure%2fvirtual-network%2ftoc.json#grant-access-from-a-virtual-network
• https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-vnet-plan-design-arm