是否可以将Azure Blob存储容器的IP白名单设置为仅接受来自特定Azure功能的请求
我们目前正在尝试创建一个解决方案,使用C#编译的函数应用程序(v2)在Azure中处理敏感数据。由于应用程序服务环境对于我们所需的解决方案来说成本过高,因此我们尝试先使用vnet集成,然后使用IP限制来保护我们的功能与通用blob存储(v1)队列和表之间的通信。 不幸的是,试图用IP限制从函数访问blob存储是不起作用的——当我们尝试连接时,它似乎总是以“禁止”失败,即使函数的外部IP的完整列表添加到blob存储的允许IP列表中。blob存储不允许将函数的内部IP(Kudu中的LOCAL_ADDR)添加到“允许的IP”列表中,因为它是一个内部IP,甚至将整个Azure区域的IP地址添加到blob存储中似乎也不允许函数连接。唯一有效的方法是完全关闭IP限制,这会使整个解决方案在安全方面处于不稳定状态(例如GDPR)是否可以将Azure Blob存储容器的IP白名单设置为仅接受来自特定Azure功能的请求,azure,security,azure-functions,azure-storage-blobs,whitelist,Azure,Security,Azure Functions,Azure Storage Blobs,Whitelist,我们目前正在尝试创建一个解决方案,使用C#编译的函数应用程序(v2)在Azure中处理敏感数据。由于应用程序服务环境对于我们所需的解决方案来说成本过高,因此我们尝试先使用vnet集成,然后使用IP限制来保护我们的功能与通用blob存储(v1)队列和表之间的通信。 不幸的是,试图用IP限制从函数访问blob存储是不起作用的——当我们尝试连接时,它似乎总是以“禁止”失败,即使函数的外部IP的完整列表添加到blob存储的允许IP列表中。blob存储不允许将函数的内部IP(Kudu中的LOCAL_ADD
有人设法找到了解决这个问题的办法吗?如果可能的话,我们是否真的可能出错?我找到的最接近的解决方案是将你的功能应用程序连接到一个VNET,然后将你的存储帐户连接到同一个VNET,然后你可以基于该VNET配置限制。存储不支持特定功能的安全性和异常安全性,因为在“允许azure可信服务”下查看不包括功能产品
我建议检查的第二部分以帮助将功能应用程序配置到VNET,然后使用相同的VNET配置存储帐户,然后在存储防火墙上添加限制。我找到的最接近的解决方案是将功能应用程序连接到VNET,然后将存储帐户连接到相同的VNET,然后,您可以基于该VNET配置限制。存储不支持特定功能的安全性和异常安全性,因为在“允许azure可信服务”下查看不包括功能产品 我建议检查的第二部分,以帮助将应用程序的功能配置为VNET,然后使用相同的VNET配置您的存储帐户,然后在存储防火墙上添加限制