azure - 从本地访问 Azure 专用终结点

Question

语境

我在 Azure 中有一个中心辐射型网络架构，并且中心 vnet 具有与本地的站点到站点 VPN 连接。

我有一个我想私下访问的存储帐户。因此，我在分支 vnet 中创建了一个专用终结点，并将中心 vnet 与privatelink.blob.core.windows.net专用 DNS 区域连接起来。

为了从本地解析存储帐户专用链接，我在集线器 vnet 中添加了一个 Azure 防火墙，充当 DNS 代理，所有流量privatelink.core.windows.net都发送到此防火墙。

此处总结了此设置。

当我做 anslookup [xxx].blob.core.windows.net时，我第一次获得存储帐户私有 IP。但是，随后，我获得了存储帐户公共 IP。

这怎么可能？

[xxx].blob.core.windows.net客户端向本地 DNS 服务器发送请求
本地 DNS 服务器将请求转发到中心防火墙
中心防火墙将请求转发到 Azure DNS
Azure DNS 响应[xxx].blob.core.windows.net一个 CNAME，[xxx].privatelink.blob.core.windows.net而 CNAME 又是一个 CNAMEblob.[yyy].store.core.windows.net并解析为专用 IP

[xxx].blob.core.windows.net客户端向本地 DNS 服务器发送请求
本地 DNS 服务器在其缓存中看到[xxx].blob.core.windows.netCNAMEblob.[yyy].store.core.windows.net并尝试解析该名称
本地 DNS 服务器解析公共 IP

score 0 · Accepted Answer

为存储帐户创建专用终结点时，并不意味着无法从 Internet 访问该存储帐户。这仅意味着您可以从 VNet 和 Internet 访问存储帐户。你可以从下面的截图中理解：

因此，如果您只希望只能从中心 VNet 访问存储帐户，则需要更改Allow access from into Selected networks和中心 VNet 中的选定网络。