Внутреннее развертывание приложения Azure

Question

Кто-нибудь может предложить какое-нибудь решение для этого сценария?:

У меня есть два ресурса, развернутых в VNet: шлюз приложений и виртуальная машина за шлюзом приложений. (Шлюзы приложений в подсети1 и ВМ в подсети2) Нет ни одного publi c ip, связанного с шлюзом приложений (внутренний шлюз приложений только с частным ip). У меня есть сценарии автоматизации в учетной записи хранения в другом клиенте, и я должен иметь возможность загружать их в vm, используя azure cli. С данной архитектурой я хочу иметь возможность загружать скрипты в виртуальную машину из учетной записи хранения. В настоящее время, если я запускаю «az login» из VM, ничего не происходит. Я нашел некоторую помощь по Azure документации: https://docs.microsoft.com/en-us/azure/application-gateway/configuration-overview#allow -application-gateway-access-to-Несколько-source-ips , но это не помогло.

Я также подключил группу безопасности сети с разрешением VnetInbound для ВМ. В то время как архитектура, я не могу использовать любой publi c ip из-за требований клиента, и они не хотят никакой возможности подключения к inte rnet.

Есть предложения?

Заранее спасибо!

Answer 1

Поскольку Azure ВМ не присоединяет публичный c IP, учетная запись хранилища напрямую не связывается с вашей Azure ВМ через Inte rnet.

В этом сценарии я хотел бы предоставить два предложения:

Один из них - использовать конечные точки службы виртуальной сети , которые позволяют защитить Azure учетные записи хранения к вашим виртуальным сетям, полностью удаляя публичный c inte rnet доступ к этим ресурсам. Вы можете создать конечные точки службы для Microsoft.Storage в этой виртуальной машине su bnet. Ваш экземпляр виртуальной машины будет обращаться к учетной записи хранения через магистральную сеть Azure, но имеет некоторые ограничения , как показано ниже:

Виртуальная сеть, в которой настроена конечная точка, может находиться в такая же или другая подписка, чем у ресурса Azure. Для получения дополнительной информации о разрешениях, необходимых для настройки конечных точек и защиты служб Azure, см. Обеспечение .

Виртуальные сети и Azure ресурсы службы могут быть в одной или разных подписки . Если виртуальная сеть и Azure ресурсы службы находятся в разных подписках, ресурсы должны находиться под одного и того же клиента Active Directory (AD) .

Другое предложение - используйте частные конечные точки для Azure хранения . Вы можете создать частные подключения к конечной точке для учетной записи хранения в VNet, а затем сопоставить эту VNet с VNet, где ваша Azure VM создает.

Для получения дополнительной информации вы можете получить более подробную информацию. и шаги в этих блогах - https://stefanstranger.github.io/2019/11/03/UsingAzurePrivateLinkForStorageAccounts/

и

https://kvaes.wordpress.com/2019/03/10/hardening-your-azure-storage-account-by-using-service-endpoints/