Блог

Мы используем учетную запись хранилища Azure для наших облачных сервисов. Эта учетная запись хранилища является частью виртуальной сети, поэтому доступ к учетной записи хранилища ограничен selected networks и добавляется виртуальная сеть. Это прекрасно работает в наших сервисах.

Проблема возникает, когда мы пытаемся скопировать данные в эту учетную запись хранилища в конвейере Azure. В рамках конвейера мы временно добавляем правило брандмауэра к учетной записи хранилища, чтобы разрешить трафик с IP-адреса агента конвейера на учетную запись хранилища. Затем мы копируем данные (через azcopy) и, наконец, удаляем правило брандмауэра. Это отлично работает на частном агенте. Однако мы также используем частные агенты, размещенные в azure. Проблема в том, что если агент запускается в Azure, для подключения к учетной записи хранилища используются частные IP-адреса Azure, и правило брандмауэра не работает. Это указано в этом документе:

Службы, развернутые в том же регионе, что и учетная запись хранилища, используют частные IP-адреса Azure для связи. Таким образом, вы не можете ограничить доступ к определенным службам Azure на основе их общедоступного диапазона исходящих IP-адресов.

Есть ли какой-либо способ принудительно выполнить внешнюю маршрутизацию? Мне кажется действительно глупым, что при текущей конфигурации мы не можем подключиться к учетной записи хранилища из Azure, и мы можем подключиться с частного агента (или любого другого компьютера) за пределами azure.

Я уже пытался поиграть с routing preference настройками в firewalls and virtual networks разделе учетной записи хранилища и использовать -internetrouting конечную точку, но это не имеет никакого значения.

Решение заключается в использовании частных конечных точек. Я имею дело с той же проблемой, и после значительных исследований я обнаружил, что частные конечные точки облегчат доступ по внутренним IP-адресам между удаленной виртуальной сетью, в которой расположены ваши агенты, и виртуальной сетью, в которой расположено ваше хранилище. Я протестировал это и предоставил подробную информацию ниже.

После тестирования я обнаружил, что это работает путем создания частного DNS в виртуальной сети хранилища и настройки ссылки DNS виртуальной сети, которая позволяет виртуальным машинам в удаленной виртуальной сети, где находятся агенты, разрешать подключение учетной записи хранилища к частному IP вместо общедоступного IP. Кроме того, создается сетевой адаптер в удаленной виртуальной сети, который обеспечивает маршрут к частным IP-адресам хранилища.

Таким образом, сетевой адаптер находится в той же виртуальной сети, что и агенты, предоставляющие маршрут для частных IP-подключений, и существует DNS-ссылка для преобразования хранилища в частные IP-адреса, и все это просто работает. Агенты будут полагаться на частный DNS, а не на общедоступный DNS для разрешения имени хоста хранилища, и поэтому агенты будут правильно взаимодействовать с Azure через частные IP-адреса.

Редактировать: я настроил частную конечную точку и подтвердил, что она работает должным образом. Для этого с terraform есть несколько предостережений, которые я изложил в соответствующей проблеме azurerm provider GitHub:

https://github.com/hashicorp/terraform-provider-azurerm/issues/2977#issuecomment-1011183736

Согласно here, вам необходимо разрешить доступ ко всему центру обработки данных Azure, соответствующему вашему региону. Итак, я думаю о чем-то автоматизированном, что будет запрашивать API, извлекать диапазон IP-адресов и использовать его.