将 Azure App Service 连接到 IP 受限存储帐户

Connecting Azure App Service to IP restricted storage account

我们有一个需要从我们公司访问的 Azure 存储帐户,但它也需要可供同一资源组中的一个 Web 应用程序访问。此应用仅对我们公司和使用其中某些部分的其他一些应用可见。

所以路径看起来像这样:

存储帐户(为 App1 和我们公司提供保护)<= App1(为其他应用程序和我们公司提供保护)<= 其他应用程序(公开可用)

我的问题是:如何secure/setup 存储帐户以便 App1 可以使用它,但它仍然只对我们公司不使用 VNET 可用?

目前存储账户只有我司例外。以及“允许受信任服务列表中的 Azure 服务访问此存储帐户”。允许设置,我在一些 Technet 线程上读到它应该允许访问存储帐户的相同订阅中的资源,不幸的是,由于某种原因,Web 应用程序似乎不在受信任列表中。

App1 是 .NET Framowork 4.8,通过连接字符串连接到帐户中的存储,并在其中使用容器。当禁用网络安全时,一切正常。

到目前为止,我已经尝试了以下方法:

  1. 允许存储账户FW上App1的所有出站地址
  2. 根据本手册为 App1 提供身份并为其分配订阅级别的存储 Blob 数据贡献者角色 https://docs.microsoft.com/en-us/azure/app-service/scenario-secure-app-access-storage?tabs=azure-portal%2Cprogramming-language-csharp

在我们开始搞乱应该工作的 VNET 之前,是否有任何选项可以解决问题?

How to secure/setup the storage account so the App1 can use it but it is still only available to our company without using VNET?

您可以将 Web 应用程序与 VNET 集成,以便 Web 应用程序可以访问虚拟网络中的资源

在门户中转到您的 Web 应用 --> Select 网络 --> 在出站流量中,select VNET 集成 --> 添加您的 VNET 和子网

现在转到您的存储帐户 --> Select 网络 --> 在 selected 网络下,单击添加现有虚拟网络 --> 添加您的虚拟网络和子网

现在,您将能够从您的网络应用程序访问存储帐户。