跨 Azure 租戶的 Azure SQL Server 的 VNet 白名單

Question

我有一個位於租戶 A 中的Azure SQL Server ，我需要為位於租戶 B 中的子網添加虛擬網絡規則。

為此，我創建了一個服務主體並為其提供了多租戶訪問權限。 我還可以在兩個租戶中看到 SP。 SP 可以訪問兩個租戶中的訂閱和資源（SQL Server 和 VnNet）。

當我嘗試使用 SP 憑據/登錄添加 VNet 規則時，遇到以下錯誤：

New-AzSqlServerVirtualNetworkRule:
The client has permission to perform action 'Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/Action'
on scope '/subscriptions/{subscription ID}/resourceGroups/{resource group name}/providers/Microsoft.Sql/servers/
{SQL Server name}/virtualNetworkRules/{rule name}',
however the current tenant 'xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' is not authorized to access linked subscription 'xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'.

Answer 1

遇到以下錯誤

New-AzSqlServerVirtualNetworkRule: The client has permission to perform action 'Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/Action' on scope '/subscriptions/{subscription ID}/resourceGroups/{resource group name}/providers/Microsoft.Sql/servers/{SQL Server name}/virtualNetworkRules/{rule name}', however the current tenant 'xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' is not authorized to access linked subscription 'xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx'.

• Azure SQL Server 中跨 Azure 租戶的服務連接將只能訪問一個租戶中的虛擬網絡。 它無權訪問其他租戶中的虛擬網絡。
• 您可以通過以下步驟將網絡參與者角色分配給該虛擬網絡：

轉到Azure 門戶->資源組->訪問控制 (IAM) ->添加角色分配。 ->選擇網絡貢獻者 -> 添加

Answer 2

如果我理解正確，您希望連接位於兩個獨立 VNET 中的資源。

您是否在兩個網絡之間設置了任何 VNET 對等互連（教程） ？