Azure 资源管理器在读取 Blob 容器中的链接 ARM 模板时使用哪些 IP 范围
What IP Ranges Are Used By The Azure Resource Manager When Reading Linked ARM Templates in Blob Containers
我已经设置了一个 Azure 存储帐户,设置了防火墙和虚拟网络以允许从选定的网络进行访问。该帐户已连接到我的自托管发布 VM 所连接的 VNet 和子网。尝试使用链接的 ARM 模板执行新部署时,发布 VM 能够将 ARM 模板上传到 blob 容器并获取 SAS 令牌,但 Azure 资源管理器报告 "Error: Code=InvalidContentLink; Message=Unable to download deployment content from 'https://...".
所有 Allow 例外均已启用。
如果我将防火墙设置改回 所有网络,执行将成功完成。
是否有我应该添加的 IP 地址列表?例如,Azure DevOps 发布了一个类似的列表,我不得不在 https://docs.microsoft.com/en-us/azure/devops/organizations/security/allow-list-ip-url?view=azure-devops#ip-addresses-and-range-restrictions
使用
这里的一个挑战是 IP 范围超出了我们允许列入白名单的范围,因此您需要以某种方式(例如位置)进行限制,以使其在产品中正常运行。我们正在研究替代解决方案,但还没有 ETA。
一些客户使用的一个选项是拥有一个单独的存储帐户,仅在文件为临时文件时用于暂存。这并不适用于所有情况(例如,长期共享文件),但可能会提供一些短期缓解。如果有帮助,很高兴在此处离线讨论更多有关选项的详细信息。
我已经设置了一个 Azure 存储帐户,设置了防火墙和虚拟网络以允许从选定的网络进行访问。该帐户已连接到我的自托管发布 VM 所连接的 VNet 和子网。尝试使用链接的 ARM 模板执行新部署时,发布 VM 能够将 ARM 模板上传到 blob 容器并获取 SAS 令牌,但 Azure 资源管理器报告 "Error: Code=InvalidContentLink; Message=Unable to download deployment content from 'https://...".
所有 Allow 例外均已启用。
如果我将防火墙设置改回 所有网络,执行将成功完成。
是否有我应该添加的 IP 地址列表?例如,Azure DevOps 发布了一个类似的列表,我不得不在 https://docs.microsoft.com/en-us/azure/devops/organizations/security/allow-list-ip-url?view=azure-devops#ip-addresses-and-range-restrictions
使用这里的一个挑战是 IP 范围超出了我们允许列入白名单的范围,因此您需要以某种方式(例如位置)进行限制,以使其在产品中正常运行。我们正在研究替代解决方案,但还没有 ETA。
一些客户使用的一个选项是拥有一个单独的存储帐户,仅在文件为临时文件时用于暂存。这并不适用于所有情况(例如,长期共享文件),但可能会提供一些短期缓解。如果有帮助,很高兴在此处离线讨论更多有关选项的详细信息。