Azure 存儲網絡安全組

Question

我想將 Azure 存儲帳戶添加到 VNet/網絡安全組，但一直收到授權失敗消息。

錯誤是：'代碼：AuthorizationFailure 內容：_CYCLIC_OBJECT_ 消息：該請求無權執行此操作。

我已將 VNet 添加到具有 Microsoft.Storage 服務終結點的存儲帳戶，並且子網已與 NSG 關聯。

我已經使用 NSG 上的存儲服務標簽為 IP 地址創建了一個入站規則和一個出站規則。

我什至嘗試過使用所有互聯網入站規則，但沒有任何樂趣。

如果我將存儲帳戶的防火牆和虛擬網絡設置中的 IP 地址列入白名單，則它可以正常工作。

有什么我想念的嗎？

Answer 1

在您的評論中，您希望通過將存儲帳戶與 VNet 和 NSG 關聯來管理存儲帳戶的防火牆規則。 這不是正確的方向。

不能對 Azure 存儲服務使用網絡安全規則，因為存儲帳戶不能位於 VNet 內或 VNet 的一部分，並且 NSG 在 IP 地址、端口、協議級別工作。 有關更多信息，您可以參考這個答案。

此外，如果您在存儲帳戶的Firewall and Virtual Network設置中添加了選定的 VNet，它會授予從虛擬網絡訪問存儲帳戶的權限。 因此，只有選定的 VNet 才能訪問您的存儲帳戶。 如果您沒有在防火牆中添加其外部 IP 地址，它將顯示來自您公司網絡的訪問拒絕。

您可能希望為您的存儲帳戶創建專用終結點，這會將您的 VNet 中的專用 IP 地址分配給存儲帳戶，並通過專用鏈接保護您的 VNet 和存儲帳戶之間的所有流量。 有了這個，您還可以在使用私有端點時使用防火牆阻止通過公共端點的所有訪問。 請注意，目前您無法為私有端點配置 NSG 規則和用戶定義的路由。