是否可以通过ENTIRE vnet允许使用ARM模板创建的存储帐户中的流量?我目前有这个:
{
"apiVersion": "2018-02-01",
"kind": "Storage",
"location": "[resourceGroup().location]",
"name": "[variables('nsg-storage-account-name')]",
"properties": {
"networkAcls": {
"bypass": "AzureServices",
"virtualNetworkRules": [
{
"id": "[ variables('vnet_storageSubnetId') ]",
"action": "Allow"
}
],
"defaultAction": "Deny"
}
},
"sku": {
"name": "[parameters('diagnosticsStorageAccountType')]"
},
"type": "Microsoft.Storage/storageAccounts"
}
这使我选择一个特定的子网,但是我想要一个完整的VNET,因为我将必须包含大约20个子网
答案 0 :(得分:0)
网络安全组可以与网络接口,该网络接口所在的子网或两者关联。这就是为什么它要求您提供子网的原因,没有选择将NSG应用于整个VNet。
您可以将存储帐户配置为仅允许来自特定VNet的访问。
在VNet中为Azure存储启用服务终结点。该终结点为流量提供了通往Azure存储服务的最佳路由。虚拟网络和子网的身份也随每个请求一起发送。然后,管理员可以为存储帐户配置网络规则,以允许从VNet中的特定子网接收请求。通过这些网络规则授予访问权限的客户端必须继续满足存储帐户的授权要求才能访问数据。
每个存储帐户最多支持100个虚拟网络规则,这些规则可以与IP网络规则结合使用。
来源:
答案 1 :(得分:0)
添加到现有答案。您需要为每个子网构建一个阵列,还需要在vnet \ subnet端(已启用的服务端点)重复此操作。