问题标签 [azure-private-link]

我有一个带有与 VNET1 / SUBNET11 关联的专用链接的 Azure 存储帐户。此外，我在 VNET1 / SUBNET12 中有一个 VM1。这很好用——即我可以从 VM1 访问存储帐户，但不能在 VNET1 之外访问。

现在我在 VNET2 / SUBNET21 中用 VM2 观察 VNET2。不幸的是，我无法从 VM2 访问存储帐户。

这是什么原因？

我通过在 Azure SQL 数据库服务器上的防火墙设置中将“拒绝公共网络访问”旋钮设置为“是”来启用专用链接。除了外部数据源（外部表）外，一切都按预期工作。外部表只是指向属于同一服务器的另一个 Azure SQL 数据库中的表的链接。在我启用私人链接之前，一切正常。如果我尝试查询外部表，则会收到以下错误消息：

“从 [mydbserver].database.windows.net.[mydbname] 检索数据时出错。收到的基本错误消息是：'原因：与 SQL Server 建立连接时发生特定于实例的错误。连接被拒绝，因为拒绝公共网络访问设置为是 ( https://docs.microsoft.com/azure/azure-sql/database/connectivity-settings#deny-public-network-access )。要连接到此服务器，请从您的内部使用专用终结点虚拟网络（https://docs.microsoft.com/azure/sql-database/sql-database-private-endpoint-overview#how-to-set-up-private-link-for-azure-sql-database）。 "

我在文档中找不到任何关于外部数据源和外部表与私有链接设置相结合的任何限制。

使用标准方式创建的外部表：“CREATE EXTERNAL DATA SOURCE”和“CREATE EXTERNAL TABLE”。我也尝试在启用私有链接后重新创建数据源和表，但错误仍然存​​在......

我是否需要使用不同的专用端点设置多个专用链接以从我的 Azure VM 连接到 Azure 存储帐户或 Azure SQL DB，或者只有一个专用链接可以使用，我可以将该专用链接与多个 Azure PaaS 服务一起使用由私人链接提供服务？

我可以通过门户为存储队列创建一个专用端点，并且在使用 KUDU 的 nameresolver.exe 进行检查时，它可以按预期工作。但是，我正在努力寻找一个可以一次性完成此操作的 ARM 模板。

我已使此模板工作，但我可以看到在生成的私有 DNS 区域中没有生成A 记录条目。我不知道如何创建该 A 记录条目，并且似乎无法在线找到描述此内容的 ARM 模板：

我认为微软过于复杂了。私有 IP 是自动生成的，我不知道如何在 ARM 模板中引用此 IP。

我们正在使用“Azure 应用服务部署”任务从本地托管的 TFS 发布到 azure。

我们刚刚在我们的应用服务上启用了“私人链接”。应用服务上的 SCM-api 现已与 Internet 隔离。我们不能再从 TFS 部署。这里有没有人经历过类似的情况？这里最好的策略是什么？

这是我所拥有的：

• 1 个具有子网 1 和子网 2 的 VNet。
• 1 个在子网 1 中具有专用端点的存储帐户
• 1 在子网 2 中具有专用终结点的 Azure 数据工厂
• 他们俩都禁用了公共网络访问。

我正在尝试使用数据工厂管道（复制数据）在存储帐户中读取和写入 blob。通过上述设置，管道超时，我认为这是因为它无法解析存储帐户的私有 IP。

我缺少哪些步骤才能正确使用上面设置中的私有端点以能够通过数据工厂 R/W Blob？

注意：如果我在数据工厂中创建托管专用终结点以连接到存储帐户，则管道可以工作并且能够读取/写入 blob。参考：https ://docs.microsoft.com/en-us/azure/data-factory/managed-virtual-network-private-endpoint

托管专用端点是连接到存储帐户的唯一方式吗？如果没有，我该如何配置普通的私有端点？

我在 Azure 中有一个虚拟网络设置，其中包括 Azure Bastion、Azure 虚拟机和到不同 Azure 资源的专用链接（其中包括专用 DNS 区域“privatelink.azure.com”）。我从 Bastion 和运行良好的 VM 开始。但是，一旦我将私有链接添加到同一个 VNET，尝试通过 Bastion 访问 VM 时就会出现错误：

APP.DIALOG_HEADER_CONNECTION_ERROR

我可以做些什么来解决这个问题并能够再次访问 VM？

我已使用以下配置预配 Cosmos DB

1. 美国西部 - 主要 => 读写
2. 美国东部 - 中学 => 阅读

并配置了私有端点，如下所示

美国西部配置

美国东部配置

私有 DNS 配置

我确实了解 Azure 将负责 DNS 更新，以确保 FQDN 在发生故障转移时指向正确的 cosmos DB 实例。

当我使用私有端点时，我是否希望在发生故障转移时对私有端点进行任何更改/更新？

我的工作区启用了托管 vnet。我已设法按照指南配置到默认 ADLS Gen 2 的专用链接：

https://docs.microsoft.com/en-us/azure/synapse-analytics/security/how-to-create-managed-private-endpoints

专用链接连接在复制活动（工作区中的管道）中工作。但是，从无服务器池访问存储帐户似乎不起作用。有这方面的指南吗？对于 AAD 直通、SAS 令牌或托管身份的使用是否有任何要求？目前完全支持吗？

错误：无法打开文件“”，因为它不存在或被另一个进程使用。

此错误是由具有托管标识方案的 AD 直通和数据源引起的。我可以使用“访问受信任的 Microsoft 服务”复选框（在 ADLS 中）让连接通过托管标识工作，因此应该正确配置它们。但是，当阻止对 ADLS 的访问时，连接将停止工作。

编辑：根据此链接：https ://docs.microsoft.com/en-us/azure/synapse-analytics/sql/develop-storage-files-storage-access-control?tabs=user-identity ，访问防火墙保护的存储帐户只能使用托管标识和“允许受信任的 Microsoft..”设置打开。这是否也适用于私有链接，这意味着访问防火墙后面的存储帐户的唯一方法是允许访问 Microsoft 服务，并且私有链接不能用于无服务器池？

我们正在为我们的云服务使用 azure 存储帐户。此存储帐户是虚拟网络的一部分，因此对存储帐户的访问受到限制selected networks并添加了 vnet。这在我们的服务中非常有效。

当我们尝试在 azure 管道中将数据复制到此存储帐户时，就会出现问题。在管道中，我们临时将防火墙规则添加到存储帐户，以允许从管道代理的 IP 地址到存储帐户的流量。然后我们复制数据（通过 azcopy），最后删除防火墙规则。这适用于私人代理。但是，我们也使用托管在 azure中的私人代理。问题是，如果代理在 azure 中运行，则与存储帐户的连接使用私有 azure ip 地址，并且防火墙规则不起作用。这是在这个文档中指定的：

与存储帐户部署在同一区域的服务使用私有 Azure IP 地址进行通信。因此，您不能根据公共出站 IP 地址范围限制对特定 Azure 服务的访问。

有没有办法强制外部路由？在我看来，在当前配置下，我们无法从 azure 中连接到存储帐户，但我们能够从 azure 之外的私有代理（或任何其他 pc）连接，这似乎真的很愚蠢。

我已经尝试使用存储帐户部分中的routing preference设置，并使用端点，但这没有任何区别。firewalls and virtual networks-internetrouting