任何人都可以为这种情况提出一些解决方案吗?:
我在 VNet 中部署了两个资源:应用程序网关和应用程序网关后面的虚拟机。(子网 1 中的应用程序网关和子网 2 中的虚拟机)没有与应用程序网关关联的公共 ip(只有私有 ip 的内部应用程序网关)。我在另一个租户的存储帐户中有自动化脚本,我需要能够使用 azure cli 在 vm 中下载这些脚本。使用给定的架构,我希望能够从存储帐户下载 vm 中的脚本。目前,如果我从 VM 运行“az login”,则没有任何反应。我在 Azure 文档上找到了一些帮助:https ://docs.microsoft.com/en-us/azure/application-gateway/configuration-overview#allow-application-gateway-access-to-a-few-source-ips但是这没有帮助。
我还附加了允许 VM 的 VnetInbound 的网络安全组。在 while 架构中,由于客户要求,我不能使用任何公共 ip,而且他们不希望有任何互联网连接。
有什么建议么?
提前致谢!
由于 Azure VM 不附加公共 IP,因此存储帐户不会通过 Internet 直接与您的 Azure VM 通信。
在这种情况下,我想提供两个建议:
一种是使用虚拟网络服务端点,它允许您将 Azure 存储帐户保护到您的虚拟网络,完全消除对这些资源的公共 Internet 访问。您可以在该 VM 子网中创建服务端点。Microsoft.Storage您的 VM 实例将通过 Azure 主干网络访问存储帐户,但它有一些限制,如下所示:
配置终结点的虚拟网络可以位于与 Azure 服务资源相同或不同的订阅中。有关设置终结点和保护 Azure 服务所需权限的详细信息,请参阅预配。
虚拟网络和 Azure 服务资源可以在相同或不同的订阅中。如果虚拟网络和 Azure 服务资源在不同的订阅中,则资源必须在 同一个 Active Directory (AD) 租户下。
另一个建议是使用 Azure Storage 的专用终结点。您可以在 VNet 中为存储帐户创建专用终结点连接,然后将此 VNet 与您的 Azure VM 创建的 VNet 对等。
有关更多参考,您可以在这些博客上获得更多详细信息和步骤-- https://stefanstranger.github.io/2019/11/03/UsingAzurePrivateLinkForStorageAccounts/
和