我创建了一个 Azure 资源组,其中包含虚拟网络、虚拟网络网关、Blob 存储和 Blob 存储的专用终结点。 我已将存储帐户配置为仅接受来自专用终结点的连接。
为了访问 Blob 存储,我配置了一条到虚拟网络网关的点到站点 VPN 隧道并连接到它。
与 VPN 的连接已成功建立,但是,我仍然无法连接到 Blob 存储。 我收到以下错误消息:
我正在尝试通过浏览器中的 azure-portal 来执行此操作:
看起来 Blob 存储的连接仍然是使用我的公共 IP 而不是分配给我的 VPN 连接的私有 IP 建立的:
我有一个模糊的猜测,也许我需要调整 DNS 或添加 NAT 规则,以确保来自本地电脑的流量实际上通过 VPN 路由到专用端点,而不是使用公共端点,尽管事实上隧道已开放...不幸的是我不知道该怎么做。
我对网络相关知识非常菜鸟,所以我无法自己进行任何进一步的调试。 我认为这是一个相当简单的任务,我只是错过了一些明显的东西。
如果有人能指出我正确的方向,那就太好了。
谢谢!
您有两种选择来完成这项工作。
1 - 使用主机文件并更新存储帐户 FQDN 以解析为专用端点的 IP。
2 - 使用 Azure 中部署的自定义 DNS 服务器作为 DNS 转发器,并将请求转发到 Azure Wireserver IP。请参阅:https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns#on-premises-workloads-using-a-dns-forwarder
P.S: 以上要求您将 DNS 后缀 和 自定义 DNS 服务器 添加到 Azure VPN 客户端配置文件。
我尝试在我的环境中重现相同的结果,成功得到如下结果:
要解决此问题,请检查以下解决方法:
专用终结点被阻止对此存储帐户的公共访问,从网络访问的唯一方法是在同一网络中创建虚拟机并部署 Azure Bastion,如下所示:
创建了一个具有私有端点的存储帐户,如下所示:
有一次,我通过 Azure 门户 -> 存储帐户在浏览器登录中与 Bastion 连接,我能够成功连接到 Blob 专用端点,如下所示:
要检查专用端点的 DNS 名称,请使用 nslookup 命令,如下所示:
嗨@simonk,我在我的环境中面临同样的问题,你能告诉我你是如何解决这些问题的吗?
我的整个设置与您的 vnet、网关、专用端点相同,即使 VPN 完美连接后,我的本地存储帐户仍然无法访问