尝试使用与 VNET 的点到站点 VPN 连接来连接到 Azure 中的 Blob 专用终结点时出现问题

我创建了一个 Azure 资源组，其中包含虚拟网络、虚拟网络网关、Blob 存储和 Blob 存储的专用终结点。我已将存储帐户配置为仅接受来自专用终结点的连接。

为了访问 Blob 存储，我配置了一条到虚拟网络网关的点到站点 VPN 隧道并连接到它。

与 VPN 的连接已成功建立，但是，我仍然无法连接到 Blob 存储。我收到以下错误消息：

我正在尝试通过浏览器中的 azure-portal 来执行此操作：

看起来 Blob 存储的连接仍然是使用我的公共 IP 而不是分配给我的 VPN 连接的私有 IP 建立的：

我有一个模糊的猜测，也许我需要调整 DNS 或添加 NAT 规则，以确保来自本地电脑的流量实际上通过 VPN 路由到专用端点，而不是使用公共端点，尽管事实上隧道已开放...不幸的是我不知道该怎么做。

我对网络相关知识非常菜鸟，所以我无法自己进行任何进一步的调试。我认为这是一个相当简单的任务，我只是错过了一些明显的东西。

如果有人能指出我正确的方向，那就太好了。

谢谢！

1
投票

您有两种选择来完成这项工作。

1 - 使用主机文件并更新存储帐户 FQDN 以解析为专用端点的 IP。

2 - 使用 Azure 中部署的自定义 DNS 服务器作为 DNS 转发器，并将请求转发到 Azure Wireserver IP。请参阅：https://learn.microsoft.com/en-us/azure/private-link/private-endpoint-dns#on-premises-workloads-using-a-dns-forwarder

P.S: 以上要求您将 DNS 后缀和自定义 DNS 服务器添加到 Azure VPN 客户端配置文件。

0
投票

我尝试在我的环境中重现相同的结果，成功得到如下结果：

enter image description here

要解决此问题，请检查以下解决方法：

专用终结点被阻止对此存储帐户的公共访问，从网络访问的唯一方法是在同一网络中创建虚拟机并部署 Azure Bastion，如下所示：

enter image description here

创建了一个具有私有端点的存储帐户，如下所示：

enter image description here

有一次，我通过 Azure 门户 -> 存储帐户在浏览器登录中与 Bastion 连接，我能够成功连接到 Blob 专用端点，如下所示：

enter image description here

要检查专用端点的 DNS 名称，请使用 nslookup 命令，如下所示：

enter image description here

0
投票

嗨@simonk，我在我的环境中面临同样的问题，你能告诉我你是如何解决这些问题的吗？

我的整个设置与您的 vnet、网关、专用端点相同，即使 VPN 完美连接后，我的本地存储帐户仍然无法访问