有没有办法允许使用ENTIRE vnet中的ARM模板创建的存储帐户中的流量?我目前有这个:
{
"apiVersion": "2018-02-01",
"kind": "Storage",
"location": "[resourceGroup().location]",
"name": "[variables('nsg-storage-account-name')]",
"properties": {
"networkAcls": {
"bypass": "AzureServices",
"virtualNetworkRules": [
{
"id": "[ variables('vnet_storageSubnetId') ]",
"action": "Allow"
}
],
"defaultAction": "Deny"
}
},
"sku": {
"name": "[parameters('diagnosticsStorageAccountType')]"
},
"type": "Microsoft.Storage/storageAccounts"
}
这让我选择了一个特定的子网,但我想要一个完整的VNET,因为我必须包含近20个子网
网络安全组可以与网络接口,网络接口所在的子网或两者相关联。这就是为什么要求你提供子网,没有选择将NSG应用到整个VNet。
您可以配置存储帐户以仅允许从特定VNet访问。
在VNet中为Azure存储启用服务端点。此端点为流量提供了到Azure存储服务的最佳路由。每个请求也传输虚拟网络和子网的标识。然后,管理员可以为存储帐户配置网络规则,以允许从VNet中的特定子网接收请求。通过这些网络规则授予访问权限的客户端必须继续满足存储帐户的授权要求才能访问数据。
每个存储帐户最多支持100个虚拟网络规则,这些规则可以与IP网络规则结合使用。
资料来源:
添加到现有答案。您需要为每个子网构建一个阵列,您还需要在vnet \ subnet端(启用的服务端点)上重复此操作。