Какие диапазоны IP-адресов используются диспетчером ресурсов Azure при чтении связанных шаблонов ARM в контейнерах BLOB-объектов

Question

У меня установлена ​​учетная запись хранения Azure, настройка Брандмауэры и виртуальные сети , чтобы разрешить доступ из Выбранные сети . Учетная запись подключена к VNet и su bnet, к которым подключены мои виртуальные виртуальные машины. При попытке выполнить новое развертывание со связанными шаблонами ARM виртуальные машины выпуска могут загружать шаблоны ARM в контейнеры больших двоичных объектов и получать токен SAS, но диспетчер ресурсов Azure сообщает об ошибке «Ошибка: Code = InvalidContentLink; Сообщение = Unable» для загрузки содержимого развертывания из 'https://... ".

Все исключения Разрешить включены.

Если я изменю настройку брандмауэра обратно на Все сети , выполнение завершится успешно.

Есть ли список IP-адресов, который я должен добавить? Например, Azure DevOps публикует аналогичный список, который мне приходилось использовать по адресу https://docs.microsoft.com/en-us/azure/devops/organizations/security/allow-list-ip-url?view=azure-devops#ip -addresses-and-range-limit

Answer 1

См .: https://social.technet.microsoft.com/wiki/contents/articles/50886.azure-get-datacenter-ip-address-ranges-via-api.aspx

Одна из сложностей заключается в том, что существует больше диапазонов IP-адресов, для которых мы не разрешаем белый список, поэтому необходимо как-то ограничить (например, местоположение), чтобы это работало хорошо в продукт. Мы работаем над альтернативным решением, но пока не имеем ETA.

Один из вариантов, который используют некоторые клиенты, - это иметь отдельную учетную запись хранения, используемую только для подготовки, когда файлы временные. Это не работает для всех сценариев ios (например, более длительный обмен файлами), но может предложить некоторое краткосрочное облегчение. Рад общаться в автономном режиме более подробно об опциях здесь, если это поможет.