Как можно успешно ограничить область разрешенного доступа к учетной записи хранилища Azure указанным сервером базы данных?
Я хочу включить аудит журналов на сервере базы данных в Azure [документация] . Я использую Java-клиент, однако, это можно повторить и с помощью REST API.
В Azure у меня есть сервер базы данных, для которого я выполняю этот вызов. У меня также уже есть StorageAccount, который должен получать логи. Используя Java-клиент или REST API, я дал соответствующие параметры, указывающие на учетную запись хранения, и всегда получаю ответ:
com.microsoft.azure.CloudException: com.microsoft.azure.CloudException: Async operation failed with provisioning state: Failed: Insufficient read or write permissions on the provided storage account.
В Azure Portal, под учетной записью хранения -> Правила брандмауэра, , если я выберу Allow access from all networks, тогда все отлично работает .
Однако открытие доступа ко всем сетям слишком широкое, и я хотел бы ограничить доступ только сервером базы данных. Я пробовал следующее:
- В разделе FirewallRules StorageAccount в разделе
Selected networks я попытался выбрать подсеть, к которой принадлежит DBServer. Это не помогает и выдает ту же ошибку.
- В разделе FirewallRules StorageAccount, под
Add IP ranges to allow access from the internet or your on-premises networks я добавил IP-адрес сервера БД напрямую. Это приводит к той же ошибке.
Какой IP-адрес мне нужен для включения в белый список или что нужно сделать, чтобы только у сервера БД были права на запись в StorageAccount?
Редактировать для получения дополнительной информации :
Я продолжал пытаться заставить это работать. Согласно приведенному ниже ответу, я внес в белый список все IP-адреса центров обработки данных в регионе, с которым я работаю. Нет кости. Ранее я также пытался внести в белый список виртуальную сеть, частью которой является DBServer, а не игра в кости.
Кроме того, я попытался вручную включить журналы аудита в портале Azure и назначить выводу журнала созданный StorageAccount, и при этом возникает ошибка:
Failed to save Auditing settings for server: test-p1-server. ErrorMessage: The storage account 'blahblahblah' is behind a firewall or in a virtual network. Please choose a storage account without any firewall rules or virtual network configurations.
Эта ошибка явно указывает на то, что мне нужно хранилище без брандмауэра и ограничений ...
Ответ кажется очевидным, отключите брандмауэр. Это, однако, не вариант, потому что парни из службы безопасности сожгли бы меня заживо и поджарили бы мои вкусные кусочки.