我需要为我的应用程序设置网络安全组规则,以便它可以接收来自 Internet 的 HTTPS 请求并将数据写入表存储和 Azure SQL。不允许其他任何内容。
我知道如何设置 HTTP 入站规则。但是我不知道如何为表存储和 azure sql 设置出站规则。我应该提供使用".table.core.windows.net"作为目标地址前缀的值吗?
不能对 Azure 存储服务使用网络安全规则,因为:
- Azure 存储服务不是虚拟网络的一部分,也不能是虚拟网络的一部分(截至 2015 年 6 月 12 日)。
- 无法确定 Azure 存储帐户的 IP 范围,因为为特定请求提供服务的实际服务器可能随时更改,并且与帐户关联的公共 IP 地址可能随时更改。
-
DestinationAddressPrefix是 CDIR 格式的网络 IP 地址,而不是 DNS 前缀/后缀
你可以(但只是理论上,我不建议这样做)是将 Azure 数据中心 IP 地址范围添加到网络安全组。这将是最接近您尝试实现的目标。但正如我所说,我不推荐它(因为您必须不断更新它,并且当此列表未更新时仍然失败)。
如果主要关注的是服务不得与本地通信(如果使用 VPN),则可以为本地网络添加显式拒绝。
如果您担心您的服务可能成为各种攻击的目标,那么您可以使用适当的Web应用程序防火墙,例如梭子鱼 - https://www.barracuda.com/programs/azure/application-security
至于Azure SQL数据库,您只能将对Azure SQL数据库的访问限制为"所有Azure服务",而不能限制为"仅挖掘Azure服务"。目前(再次,截至 2015-06-12)没有其他办法。