Azure 中的交叉订阅专用终结点
Cross-subscription Private Endpoint in Azure
是否可以在两个服务之间使用私有端点 -
- 在不同的 VNET 中
- VNET 在不同的订阅中并且 VNET 没有对等
- 订阅在不同的租户中
在类似的线路上,Private Link 似乎也可以支持相同的 - Support for across VNET sharing。摘录如下 -
”
在 Azure 平台上私下访问服务:将您的虚拟网络连接到 Azure 中的服务,而源或目标没有 public IP 地址。服务提供商可以在他们自己的虚拟网络中提供他们的服务,而消费者可以在他们的本地虚拟网络中访问这些服务。私有 Link 平台将通过 Azure backbone 网络处理消费者与服务之间的连接
此致,
尼丁
在这种情况下,我认为没有 VNet 对等是不可能的。
经过我的验证,我们可以在每个 VNet 中使用专用端点和 VNet to VNet peering enabled 在不同订阅和不同租户中访问该服务。
在subA和TenantA中,我创建了
- VNetA 和一个没有 public IP 的 Azure VMa 部署在该 VNet 中。我们可以使用该 VNet 中的堡垒主机访问 VM。参考this.
在 subB 和 TenantB 中,我创建
- 一个存储帐户和一个私有 DNS 区域
privatelink.file.core.windows.net 和一个 VNetB。
- 为此存储帐户和存储子资源启用私有终结点
file,您可以参考this
注意,我们应该 link VNetA 和 VNetB 在同一个私有 DNS 区域中,然后我们可以从 Azure VMa 获取解析为私有 IP 地址的文件共享 FQDN。另外,我们应该使用对两个订阅都有足够权限的帐户。
如果没有 VNet 对等互连,网络连接将被阻止,因为 VNet A 和 VNet B 属于不同的隔离虚拟网络,并且没有来自 VNet A 和 VNet B 的路由。
如果VNet相互对等,则网络连接成功。
完全有可能,专用端点在订阅和租户之间工作得很好。您只需要稍微不同地创建它们。从目标端创建它们,然后在资源页面上 select“通过资源 ID 或别名连接到 Azure 资源。”。并粘贴您要连接的资源 ID。资源ID可以在资源概览页面-JSonlink获取。
完成一项 - 转到源 -> 私有端点并手动批准请求的私有端点。
选择 Connect to an Azure resource by resource ID or alias 时,不太清楚 Resource ID or alias(2) 和 Target sub-resource(3) 的实际值。
在此示例中,我引用了一个存储帐户和文件共享。
Resource ID or alias = 存储帐户的资源 ID。例如:
/subscriptions/aaaaa-1111-11111-aaaa-asasdas212/resourceGroups/myresourcegroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount
Target sub-resource 是以下列表中 sub-resource 的名称:
参考:https://docs.microsoft.com/en-us/azure/storage/common/storage-private-endpoints#dns-changes-for-private-endpoints
是否可以在两个服务之间使用私有端点 -
- 在不同的 VNET 中
- VNET 在不同的订阅中并且 VNET 没有对等
- 订阅在不同的租户中
在类似的线路上,Private Link 似乎也可以支持相同的 - Support for across VNET sharing。摘录如下 -
” 在 Azure 平台上私下访问服务:将您的虚拟网络连接到 Azure 中的服务,而源或目标没有 public IP 地址。服务提供商可以在他们自己的虚拟网络中提供他们的服务,而消费者可以在他们的本地虚拟网络中访问这些服务。私有 Link 平台将通过 Azure backbone 网络处理消费者与服务之间的连接
此致, 尼丁
在这种情况下,我认为没有 VNet 对等是不可能的。
经过我的验证,我们可以在每个 VNet 中使用专用端点和 VNet to VNet peering enabled 在不同订阅和不同租户中访问该服务。
在subA和TenantA中,我创建了
- VNetA 和一个没有 public IP 的 Azure VMa 部署在该 VNet 中。我们可以使用该 VNet 中的堡垒主机访问 VM。参考this.
在 subB 和 TenantB 中,我创建
- 一个存储帐户和一个私有 DNS 区域
privatelink.file.core.windows.net和一个 VNetB。 - 为此存储帐户和存储子资源启用私有终结点
file,您可以参考this
注意,我们应该 link VNetA 和 VNetB 在同一个私有 DNS 区域中,然后我们可以从 Azure VMa 获取解析为私有 IP 地址的文件共享 FQDN。另外,我们应该使用对两个订阅都有足够权限的帐户。
如果没有 VNet 对等互连,网络连接将被阻止,因为 VNet A 和 VNet B 属于不同的隔离虚拟网络,并且没有来自 VNet A 和 VNet B 的路由。
如果VNet相互对等,则网络连接成功。
完全有可能,专用端点在订阅和租户之间工作得很好。您只需要稍微不同地创建它们。从目标端创建它们,然后在资源页面上 select“通过资源 ID 或别名连接到 Azure 资源。”。并粘贴您要连接的资源 ID。资源ID可以在资源概览页面-JSonlink获取。 完成一项 - 转到源 -> 私有端点并手动批准请求的私有端点。
选择 Connect to an Azure resource by resource ID or alias 时,不太清楚 Resource ID or alias(2) 和 Target sub-resource(3) 的实际值。
在此示例中,我引用了一个存储帐户和文件共享。
Resource ID or alias = 存储帐户的资源 ID。例如:
/subscriptions/aaaaa-1111-11111-aaaa-asasdas212/resourceGroups/myresourcegroup/providers/Microsoft.Storage/storageAccounts/mystorageaccount
Target sub-resource 是以下列表中 sub-resource 的名称: