在内部部署 Azure 应用程序

Deploying Azure application internally

任何人都可以针对这种情况提出一些解决方案吗?:

我在 VNet 中部署了两个资源:应用程序网关和应用程序网关后面的 VM。 (子网 1 中的应用程序网关和子网 2 中的 VM)没有 public 与应用程序网关关联的 ip(只有私有 ip 的内部应用程序网关)。我在另一个租户的存储帐户中有自动化脚本,我需要能够使用 azure cli 在 vm 中下载这些脚本。使用给定的体系结构,我希望能够从存储帐户下载 vm 中的脚本。目前,如果我从 VM 运行 "az login",什么也不会发生。我在 Azure 文档 :https://docs.microsoft.com/en-us/azure/application-gateway/configuration-overview#allow-application-gateway-access-to-a-few-source-ips 上找到了一些帮助,但没有帮助。

我还为 VM 附加了允许 VnetInbound 的网络安全组。在 while 架构中,由于客户要求,我不能使用任何 public ip,他们不希望连接到互联网。

有什么建议吗?

提前致谢!

由于 Azure VM 未附加 public IP,因此存储帐户不会通过 Internet 直接与您的 Azure VM 通信。

在这种情况下,我想提供两个建议:

一种是使用virtual network service endpoints, which allow you to secure Azure Storage accounts to your virtual networks, fully removing public internet access to these resources. You could create service endpoints for Microsoft.Storage in that VM subnet. You VM instance will access the storage account over the Azure backbone network but it has some limitations如下:

The virtual network where the endpoint is configured can be in the same or different subscription than the Azure service resource. For more information on permissions required for setting up endpoints and securing Azure services, see Provisioning.

Virtual networks and Azure service resources can be in the same or different subscriptions. If the virtual network and Azure service resources are in different subscriptions, the resources must be under the same Active Directory (AD) tenant.

另一个建议是use private endpoints for Azure Storage。您可以为 VNet 中的存储帐户创建专用终结点连接,然后将此 VNet 与您的 Azure VM 创建的 VNet 对等。

如需更多参考,您可以在这些博客上获得更多详细信息和步骤--https://stefanstranger.github.io/2019/11/03/UsingAzurePrivateLinkForStorageAccounts/

https://kvaes.wordpress.com/2019/03/10/hardening-your-azure-storage-account-by-using-service-endpoints/