问题标签 [azure-private-link]

我为存储帐户创建了 Azure 专用终结点。当我删除资源组时，似乎首先删除了存储，并且私有端点仍然指向陈旧的存储帐户。我无法再删除私有端点。

即使使用强制选项，我也无法删除。

我想通过我的网络应用程序的私有链接使用 cosmos db。我可以使用 azure sql 完成这项工作，但是 cosmos 是另一回事。

应用服务和 cosmos db 这两个资源位于同一个 Azure 区域的同一个资源组中，并且它们连接到同一个 vnet。

我在 vnet 中创建了两个子网。第一个由托管我的网络应用程序的应用程序服务使用。我已通过 vnet-integration 将应用服务集成到网络中。

第二个用于我的“cosmos db”实例的“私有端点”。当从“应用程序服务”在 c# 的 cosmos db 客户端库的帮助下连接时，我收到一条错误消息，指出不允许来自 Internet 的流量到此实例被阻止。当我从应用服务上的“kudo 控制台”运行 nslookup <mycosmosdbinstance>.documents.azure.com

Resloves 到一个公共 ip，表明流量是通过互联网路由的。我已密切遵循本指南中的步骤

https://erwinstaal.nl/posts/securing-your-azure-db-connection-using-azure-private-link/

设置应用程序设置 WEBSITE_VNET_ROUTE_ALL 和 WEBSITE_DNS_SERVER 通过 vnet 路由流量并使用 azure dns 解析主机名。有没有人能够做到这一点？

我有两个虚拟网络：公共和私有。在公共 vnet 上有一个应用服务。在私有 vnet 上有一个 azure sql 数据库。azure sql 数据库已阻止公共访问，并且正在公开私有链接。这两个 vnet 是对等的。专用链接的专用 dns 区域已链接两个 vnet。

当我 VPN 到私有 vnet 时，我可以连接到私有链接没问题。当我尝试通过应用服务连接时，出现错误：

SqlException：原因：与 SQL Server 建立连接时发生特定于实例的错误。由于拒绝公共网络访问设置为是 ( https://docs.microsoft.com/azure/azure-sql/database/connectivity-settings#deny-public-network-access )，连接被拒绝。要连接到此服务器，请使用虚拟网络内部的专用终结点 ( https://docs.microsoft.com/azure/sql-database/sql-database-private-endpoint-overview#how-to-set-up-用于 azure-sql-database 的私有链接）。

似乎应用程序服务正在使用公共 IP 地址（因此出现错误），而不是查看私有 IP 地址（通过私有 dns 区域）。

如何设置 azure 应用服务以通过跨 vnet 的专用链接进行连接？

更新：我的应用服务正在使用 Docker。我 ssh 进入它，看到 dns 名称正在解析为公共 IP 地址。我暂时将 IP 添加到主机文件（私有 IP）中，但仍然出现相同的错误。

如果我在 azure 中有一个 databricks 集群并想在专用端点中使用事件中心，我是否只需将数据库集群指向专用别名？

Databricks 已经配置了网络路由等是否有任何挑战？

我正在尝试将应用服务配置为使用私有端点连接到 Azure Sql，如此处所述（但来自门户）： https ://blog.arinco.com.au/2020/08/connect-an-azure-app-service -to-azure-sql-using-azure-private-link/

但是一旦我这样做了，我连接到同一个 vnet 的 Azure Functions 之一就不能再访问存储帐户了。我们通过删除/添加私有端点配置多次确认。

我正在使用定时器触发功能：

这如何阻止我访问存储帐户？也许一旦我将私有链接用于 Paas 产品之一，我需要全部使用它？

我们已经设置了一个 VPN 网关，并使用它来将本地网络与 Azure VNet 连接起来。我们已经成功测试了多个场景

• 从 VM 到本地数据库的通信
• 从本地计算机（台式机和服务器）到虚拟机（SSH 等）的通信
• 从本地计算机（台式机和服务器）到具有专用链接端点的服务（应用程序服务、数据库等）的通信。

我们现在尝试的用例是从应用服务访问本地数据库。我已将应用服务集成到路由的 VNet，并且还向此 VNet 添加了服务终结点。我已经看到这应该可以工作的信息，但它没有得到。

第二个问题是应用服务连接到本地服务器时的实际源 IP 是什么。当然不是出站IP？这些是非专有公共 IP。在我们的 VPN 防火墙上打开这些是有风险的。在这种情况下，解决方案还可以为有问题的应用服务提供一个私有链接端点。那么它的源 IP 会是 PL 的私有 IP 吗？

我在我的订阅中配置了多个私有端点，我无法删除它们。只需收到一条“删除失败”消息，没有更多信息。

我们将 Azure Private Link 连接配置到 Snowflake 帐户。直接私有链接 URL<accountname>.<region>.privatelink.snowflakecomputing.com按预期工作。然而，我们的目标是在任何地方都使用公共 URL <accountname>.<region>.azure.snowflakecomputing.com。它应该通过 VPN 中的私有端点解决。我们在 Private DNS zone 中设置了一条记录azure.snowflakecomputing.com。此 A 记录指向私有端点，nslookup <accountname>.<region>.azure.snowflakecomputing.com确认：

但是它不起作用。在 TLS 握手期间返回了错误的证书。用openssl检查：

用 . 返回证书CN = *.west-europe.privatelink.snowflakecomputing.com。看起来雪花根据源 IP 地址而不是源站点名称返回证书。

问题：我做错了什么以获得期望的行为？这是否意味着雪花不希望将公共 URL 与私有端点一起使用？

我在 Azure 上的 1 个应用服务计划上有 6 个应用服务，每个应用服务都有专用端点。每个 Web 应用都在使用 VNet 集成。在其中 3 个上，我不时遇到 403 IP Forbidden。几分钟后，它会在没有配置更改的情况下恢复正常。

• 没有设置 IP 限制。
• 在 Networking -> Private Endpoints 连接状态为 Approved。
• 我可以在私有 DNS 区域中看到我的应用服务。

nslookup正在返回给我正确的地址，但在 403 期间我收到了 Web App 的入站 IP 地址。

你知道这里可能有什么问题吗？

当我尝试使用专用链接访问我的 Key Vault 时（或者可能不是，不确定），服务返回 403 ( Forbidden) 并显示以下消息：

这是什么原因造成的？