Служба приложений и ограничения доступа к хранилищу
У меня есть служба приложений, которая обращается к учетной записи хранения. Я хотел бы ограничить доступ к учетной записи хранения, но как только я ограничиваю определенные сети и определенные IP-адреса, я получаю 403. Запрещено.
Даже если я добавил все исходящие IP-адреса из моей службы приложений, я получаю 403 Forbidden.
]Почему это так? Как правильно защитить свое хранилище, если я не могу использовать определенные IP-адреса и не хочу связывать свою службу приложения с виртуальной сетью?
Проблема, которую вы видите здесь, заключается в том, что веб-приложение и учетная запись хранения находится в том же регионе, трафик фактически не использует общедоступные IP-адреса веб-приложения, он проходит по внутренней сети и использует внутренний IP-адрес. Невозможно узнать, какие именно внутренние IP-адреса используются для доступа к этому, поэтому вы не можете занести их в белый список в брандмауэре хранилища.
В настоящее время есть только несколько способов справиться с этим:
- Введите свою учетную запись хранилища и приложение в разных регионах (не идеально)
- Используйте подключение к виртуальной сети, чтобы трафик проходил через виртуальную сеть
- Используйте ASE, который находится в виртуальной сети