Azure 存储帐户的访问权限可能受 IP 地址或 Azure 虚拟网络(带有Microsoft.Storage服务终结点)的限制。完成后,存储资源将仅接受来自那些指定来源的连接。这涵盖了数据操作(读、写等)和控制操作(创建新容器等);我分别称它们为“数据”和“管理”平面。
是否可以在网络级别(例如,使用防火墙)隔离这些,还是只能在角色级别完成?例如,我是否可以在同一网络上拥有一个只能执行控制操作的 VM,而不管主体的角色如何?
我在 Azure Blob Storage 上部署了一个 SPA webapp,其 URL 是公开的。例如https://example.z23.web.core.windows.net/
我想使用带有 WAF 的 Azure Front Door 来提高安全性。有没有办法阻止对 blob URL 的直接访问?我用谷歌搜索并找到了很多答案,其中之一就是在存储帐户网络配置中只允许AzureFrontDoor.BackendIP。我试过了,它奏效了。
但是,这种方法仍然存在漏洞,因为任何人都可以创建一个 Front Door 并指向我的 blob URL(如果他们碰巧以某种方式发现它)。
(这可能听起来很愚蠢):如果我继续使用此方法并随机命名我的存储帐户,例如,使用精简的随机 GUID。(https://6c4a89d5dba04b8fbe1ed7f.z23.web.core.windows.net/)这可以减少有人发现我的 URL 并绕过安全性的可能性吗?
Azure 推荐的另一种方法是检查X-Azure-FDID包含我的特定 Front Door 实例的 ID 的标头并丢弃不包含此标头的请求。我问我的开发人员这是否可以在 Vue webapp 上实现,他说我们需要在客户端运行的代码中包含 Front Door ID,因此无论如何都会将 ID 公开。(这不是堆栈溢出,但如果有人可以就此提出任何建议,那就太好了)
我发现的另一种方法是使用 Azure Front Door Premium SKU,它支持使用专用链接连接到存储帐户。这是完美的,但每月花费高达 165 美元。我宁愿将我的代码部署在 App Service 上,因为它本机只能限制来自 Front Door 的访问。
任何人都可以提出任何方法来实现这一目标吗?
谢谢。
我有这个设置:
- 存储帐户
- 一个网络应用程序
- 具有两个子网的 VNET
- 私人链接
专用链接位于子网 A 中,webapp 被委派给子网 B。我有一个分配给存储帐户的专用链接
这实际上是有效的。在进行名称解析时,我可以看到 IP 来自子网 A 范围
我可以完美地从存储帐户请求数据。
现在我想切断公共交通。如我所见,我这样做的唯一方法是禁止来自所有网络的流量
但现在我无法从我的存储帐户请求数据。名称解析仍然可以正常工作,并且内部 IP 确实得到了解析。
我肯定做错了。如何拒绝来自公共端点的流量,只允许来自我的内部 IP 的流量?
正如我所看到的,一种解决方法是将子网 B 添加到允许的网络列表中。如果我这样做,存储服务端点被添加到子网,名称解析仍在解析内部 IP,我可以获取数据。
这是解决方法,唯一且正确的方法吗?
我在 Azure 中有一个启用了网络安全的存储帐户,这意味着只有选定的网络才能访问该存储帐户。我还有一个 Azure point 2 站点 VPN,我已为其提供了对存储帐户的子网访问权限(作为“选定网络”的一部分)。
在实践中,我经常为下载 blob URL 创建 SAS 令牌,但这些令牌现在显然被阻止了。我可以通过我的第 2 点站点 VPN 将我的呼叫从本地计算机路由到下载 blob URL,以便允许访问吗?此外,由于每个人都需要访问的动态 IP,IP 白名单功能不是一个选项。
我有一个配置为只能通过专用链接访问的存储帐户,如下所示。在 VNET 内MYSTORAGE.table.core.windows.net解析为私有 IP,应用程序运行良好。在互联网上它是这样解决的:
C:\>nslookup MYSTORAGE.table.core.windows.net 8.8.8.8
Server: dns.google
Address: 8.8.8.8
Non-authoritative answer:
Name: table.sat03prdstr20a.store.core.windows.net
Address: 20.150.38.xxx
Aliases: MYSTORAGE.table.core.windows.net
MYSTORAGE.privatelink.table.core.windows.net
我不介意。但我不明白为什么我能够连接到它:
C:\>telnet MYSTORAGE.table.core.windows.net 443
据我了解,一旦禁用“所有网络”,我将无法从世界连接到它。我错过了什么?
我有一个公共 Azure Blob,其中有文件和文件夹。它设置为公共读取访问。我想确保无法枚举此 blob 的内容,以便如果有人不知道公开文件的确切 URL,他们将无法下载它。
有谁知道如何做到这一点?这是默认启用的吗?我想知道例如,如果有人使用 Azure Blob 客户端并将其指向我的 blob 而不提供密码会发生什么 - 他们可以枚举文件吗?
对此的任何帮助将不胜感激。
我正在努力将一些文件/文件夹从容器中的酷层移动到存档存储中。我有大量想要迁移的机器备份。
我将文件放在一个设置为私有的容器中,我知道我需要单独选择每个文件并将属性更改为存档。
问题是当我进入文件的属性时,热和酷(推断)可用,但存档是灰色的。
有人有什么想法吗?关注了下面的几篇文章,但无论如何我都无法将它们转移到存档存储中。
https://www.techtalkcorner.com/move-files-archive-tier-azure-storage/ https://docs.microsoft.com/en-us/azure/storage/blobs/storage-blob-storage-tiers?标签=天蓝色门户
我正忙于研究 Commvault 的 Azure 存储选项,我注意到文章指定您需要将 Azure 存储配置为热,即使它在 Commvault 中配置为存档。我是否正确解释了这一点?
https://documentation.commvault.com/commvault/v11/article?p=91299.htm
这确实大大增加了 Azure 存储的成本,我正在努力理解为什么会这样。我唯一能想到的是因为适用于 Azure 存档存储的任何早期访问费用?
谁能给我点点头?
谢谢
Microsoft Azure异地冗余存储 (GRS)不是即时的,因此它们公开了“上次同步时间”值,以帮助用户/管理员了解异地复制的滞后。不幸的是,文档没有给出任何关于典型延迟的指示,因此作为 Azure 的新用户,很难知道会发生什么。通常是几秒钟、几分钟、几小时?
显然,理想的答案是进行一些经验测试,但对于已经使用它的人来说,您通常会看到什么类型的延迟?