Azure правило брандмауэра учетной записи хранения предотвращает развертывание terraform с azure devops

Question

Я хочу развернуть свою инфраструктуру terraform с помощью Azure конвейера DevOps, но у меня возникла проблема с брандмауэром учетной записи хранения. Вот пример для учетной записи хранения:

resource "azurerm_storage_account" "storage_account" {
  name                              = "mystorageaccount"
  resource_group_name               = "myresourcegroup"
...
  network_rules {
      default_action             = "Deny"
      bypass                     = ["AzureServices", "Logging"]
      ip_rules                   = ["192.1.1.1"]
  }
}

Первоначальное создание учетной записи хранения прошло успешно, но из-за правила брандмауэра все дальнейшие действия, например, добавление контейнера, завершаются с неавторизованным исключением.

К сожалению, добавление правила обхода для «AzureServices» не работает.

Причина, по которой мне нужно добавить правило брандмауэра, связана с рекомендациями по безопасности компании, поэтому я не могу просто удалить его.

Есть ли способ обработки правил брандмауэра учетной записи хранения с помощью azure devops?

Answer 1

Для Terraform я бы предложил запустить собственные пулы агентов. Пулы агентов для производственных сред должны быть отделены от непроизводственных и располагаться в отдельных виртуальных сетях. Затем добавьте сетевое правило в Storage Acconut, чтобы разрешить доступ из пула агентов su bnet. То же самое случится с большинством сервисов, когда вы также используете конечные точки сервиса.

// EDIT:

Проверьте некоторые бесплатные sh рекомендации для создания Terraform трубопроводы.

Answer 2

Так же, как @ a4c74356b41 сказал, что вы должны внести в белый список все диапазоны ip для агентов в моем регионе, как описано здесь .

К сожалению, существует около 160 диапазонов ip (вы должны удалить все диапазоны больше, чем .../29) + мой собственный, но, по крайней мере, теперь это работает.