#azure #networking #dns #azure-virtual-network #azure-dns
Вопрос:
Контекст
У меня есть архитектура сети с узловыми спицами в Azure, а виртуальная сеть-концентратор имеет локальное VPN-соединение между сайтами.
У меня есть учетная запись хранения, к которой я хочу получить частный доступ. Итак, я создал частную конечную точку в виртуальной сети spoke и подключил виртуальную сеть-концентратор к privatelink.blob.core.windows.net частной зоне DNS.
Чтобы разрешить личную ссылку учетной записи хранения из on-prem, я добавил брандмауэр Azure в виртуальную сеть-концентратор, действующий как DNS-прокси, и весь трафик для privatelink.core.windows.net отправляется на этот брандмауэр.
Эта настройка кратко описана здесь.
Проблема
Когда я делаю nslookup [xxx].blob.core.windows.net это , в первый раз я получаю личный IP-адрес учетной записи хранения. НО впоследствии я получаю общедоступный IP-адрес учетной записи хранения.
Вопрос
Как это возможно ?
Мое предположение
Первая попытка
- Клиент отправляет запрос на
[xxx].blob.core.windows.netпредварительный DNS-сервер - Предварительный DNS — сервер перенаправляет запрос на брандмауэр концентратора
- Брандмауэр концентратора перенаправляет запрос в Azure DNS
- Azure DNS отвечает, что
[xxx].blob.core.windows.netэто CNAME, для[xxx].privatelink.blob.core.windows.netкоторого, в свою очередь, является CNAME дляblob.[yyy].store.core.windows.net, и разрешает частный IP-адрес
Последующие попытки
- Клиент отправляет запрос на
[xxx].blob.core.windows.netпредварительный DNS-сервер - Предварительный DNS-сервер видит в своем кэше
[xxx].blob.core.windows.netимя CNAME дляblob.[yyy].store.core.windows.netи пытается разрешить это имя - Включенный DNS-сервер разрешает общедоступный IP-адрес
Ответ №1:
Когда вы создаете частную конечную точку для учетной записи хранения, это не означает, что учетная запись хранения недоступна из Интернета. Это означает только, что вы можете получить доступ к учетной записи хранения как из виртуальной сети, так и из Интернета. Вы можете понять это из скриншота ниже:
Поэтому, если вы хотите, чтобы учетная запись хранения была доступна только из виртуальной сети-концентратора, вам необходимо изменить параметр Разрешить доступ из выбранных сетей и выбранной сети в виртуальной сети-концентраторе.
Комментарии:
1. Спасибо вам за ответ. В моем случае доступ разрешен только из выбранных сетей, и ниже не выбрана виртуальная сеть, потому что я не хочу общаться с учетной записью хранения через ее общедоступную конечную точку. Тем не менее, у меня есть два частных подключения к конечной точке: одно для большого двоичного объекта и одно для dfs.
2. @flappy ОК, затем вам нужно добавить сетевое правило, чтобы установить действие по умолчанию с запрещением и разрешать только трафик из выбранной виртуальной сети. Шаги здесь . Тогда вы можете получить доступ к учетной записи хранения только из виртуальной сети, а не из Интернета.