Azure存储服务如何设置网络安全组规则?
How to set network security group rules for azure storage services?
我需要为我的应用程序设置网络安全组规则,以便它可以接收来自 Internet 的 HTTPS 请求并将数据写入 Table 存储和 Azure SQL。不允许其他任何内容。
我知道如何设置 HTTP 入站规则。但是我不知道如何为 table 存储和 azure sql 设置出站规则。我应该使用“.table.core.windows.net”作为 DestinationAddressPrefix 的值吗?
您不能对 Azure 存储服务使用网络安全规则,因为:
- Azure 存储服务不属于,也不能属于(自 2015 年 6 月 12 日起)虚拟网络。
- 您无法确定 Azure 存储帐户的 IP 范围,因为为特定请求提供服务的实际服务器可能会随时更改,并且 public 与您的帐户关联的 IP 地址可能会随时更改。
DestinationAddressPrefix 是 CDIR 格式的网络 IP 地址,而不是 DNS 前缀/后缀
您可以将您的 Azure Data Centre IP Address ranges 添加到网络安全组,但仅在理论上,我不建议这样做。这将是最接近您尝试实现的目标。但正如我所说,我不会推荐它(因为你必须不断更新它并且当这个列表不更新时仍然会失败)。
如果您最关心的是您的服务不应与本地通信(如果您使用 VPN),您可以为您的本地网络添加显式拒绝。
如果您担心您的服务可能成为各种攻击的目标,那么您可以使用适当的 Web 应用程序防火墙,例如梭子鱼 - https://www.barracuda.com/programs/azure/application-security
至于 Azure SQL 数据库,您只能将对 Azure SQL 数据库的访问限制为 "All azure services",而不是 "only mine azure service"。目前(同样,截至 2015 年 6 月 12 日)没有其他办法。
我需要为我的应用程序设置网络安全组规则,以便它可以接收来自 Internet 的 HTTPS 请求并将数据写入 Table 存储和 Azure SQL。不允许其他任何内容。
我知道如何设置 HTTP 入站规则。但是我不知道如何为 table 存储和 azure sql 设置出站规则。我应该使用“.table.core.windows.net”作为 DestinationAddressPrefix 的值吗?
您不能对 Azure 存储服务使用网络安全规则,因为:
- Azure 存储服务不属于,也不能属于(自 2015 年 6 月 12 日起)虚拟网络。
- 您无法确定 Azure 存储帐户的 IP 范围,因为为特定请求提供服务的实际服务器可能会随时更改,并且 public 与您的帐户关联的 IP 地址可能会随时更改。
DestinationAddressPrefix是 CDIR 格式的网络 IP 地址,而不是 DNS 前缀/后缀
您可以将您的 Azure Data Centre IP Address ranges 添加到网络安全组,但仅在理论上,我不建议这样做。这将是最接近您尝试实现的目标。但正如我所说,我不会推荐它(因为你必须不断更新它并且当这个列表不更新时仍然会失败)。
如果您最关心的是您的服务不应与本地通信(如果您使用 VPN),您可以为您的本地网络添加显式拒绝。
如果您担心您的服务可能成为各种攻击的目标,那么您可以使用适当的 Web 应用程序防火墙,例如梭子鱼 - https://www.barracuda.com/programs/azure/application-security
至于 Azure SQL 数据库,您只能将对 Azure SQL 数据库的访问限制为 "All azure services",而不是 "only mine azure service"。目前(同样,截至 2015 年 6 月 12 日)没有其他办法。