Azure 存储防火墙规则提供对存储帐户公共终结点的网络访问的精细控制。 默认情况下,存储帐户允许来自任何网络的连接,但可以通过配置网络规则来限制访问,这些规则定义哪些源可以连接到存储帐户。
可以配置四种类型的网络规则:
- 虚拟网络规则:允许来自 Azure 虚拟网络中特定子网的流量
- IP 网络规则:允许来自特定公共 IP 地址范围的流量
- 资源实例规则:允许来自无法通过虚拟网络或 IP 规则隔离的特定 Azure 资源实例的流量
- 受信任服务例外:允许来自网络边界之外特定 Azure 服务的通信流量
配置网络规则时,只有来自显式允许源的流量才能通过其公共终结点访问存储帐户。 将拒绝所有其他流量。
Note
发出允许源请求的客户端还必须满足存储帐户的授权要求。 若要详细了解帐户授权,请参阅 授权访问 Azure 存储中的数据。
虚拟网络规则
可以在任何 Azure 虚拟网络中启用来自子网的流量。 虚拟网络可以来自任何 Azure 区域中任何Microsoft Entra 租户中的任何订阅。 若要启用来自子网的流量,请添加 虚拟网络规则。 每个存储帐户最多可以添加 400 个虚拟网络规则。
在子网的虚拟网络设置中,还必须启用虚拟网络 服务终结点。 此终结点旨在提供与存储帐户的安全和直接连接。
使用 Azure 门户创建网络规则时,会在选择每个目标子网时自动创建这些服务终结点。 PowerShell 和 Azure CLI 提供可用于手动创建的命令。 若要了解有关服务终结点的详细信息,请参阅 虚拟网络服务终结点。
下表描述了可为 Azure 存储启用的每种服务终结点:
| Service endpoint | Resource name | Description |
|---|---|---|
| Azure 存储终结点 | Microsoft.Storage | 提供与虚拟网络 位于同一区域中 的存储帐户的连接。 |
| Azure 存储跨区服务端点 | Microsoft.Storage.Global | 提供与 任何区域中的存储帐户的连接。 |
Note
只能将其中一种终结点类型与子网相关联。 如果其中一个终结点已与子网关联,则必须在添加另一个终结点之前删除该终结点。
若要了解如何配置虚拟网络规则并启用服务终结点,请参阅 为 Azure 存储创建虚拟网络规则。
从配对区域访问
服务终结点也可以在 配对区域中的虚拟网络和服务实例之间工作。
在配对区域中的虚拟网络和服务实例之间配置服务终结点可能是灾难恢复计划的重要组成部分。 服务终结点在区域故障转移期间实现连续性,并提供对只读异地冗余存储(RA-GRS)实例的访问权限。 向存储帐户授予虚拟网络访问权限的虚拟网络规则还会授予对任何 RA-GRS 实例的访问权限。
在区域中断期间规划灾难恢复时,提前在配对区域中创建虚拟网络。 为 Azure 存储启用服务终结点,并提供允许从这些备用虚拟网络进行访问的网络规则。 然后将这些规则应用于异地冗余存储帐户。
IP 网络规则
对于不在虚拟网络中的客户端和服务,可以通过创建 IP 网络规则来启用流量。 每个 IP 网络规则都允许来自特定公共 IP 地址范围的流量。 例如,如果来自本地网络的客户端需要访问存储数据,则可以创建包含该客户端的公共 IP 地址的规则。 每个存储帐户最多支持 400 个 IP 网络规则。
若要了解如何创建 IP 网络规则,请参阅 为 Azure 存储创建 IP 网络规则。
如果为子网启用服务终结点,则来自该子网的流量不会使用公共 IP 地址与存储帐户通信。 相反,所有流量都使用专用 IP 地址作为源 IP。 因此,允许来自这些子网的流量的 IP 网络规则不再有效。
用于向特定 IP 地址授予访问权限的 SAS 令牌可限制令牌持有者的访问权限,但不会越过已配置的网络规则授予新的访问权限。
Important
某些限制适用于 IP 地址范围。 有关限制列表,请参阅 IP 网络规则的限制。
从本地网络进行访问
可以使用 IP 网络规则启用来自本地网络的流量。 首先,必须标识网络使用的面向 Internet 的 IP 地址。 请与网络管理员联系以获得帮助。
如果要从本地使用 Azure ExpressRoute ,则需要标识用于 Microsoft 对等互连的 NAT IP 地址。 服务提供商或客户将提供 NAT IP 地址。
若要允许访问服务资源,必须在资源 IP 的防火墙设置中允许这些公共 IP 地址。
Azure 资源实例规则
某些 Azure 资源无法通过虚拟网络或 IP 地址规则进行隔离。 可以通过创建 资源实例网络规则来启用来自这些资源的流量。 资源实例的 Azure 角色分配确定其可以对存储帐户数据执行的操作类型。 资源实例必须与你的存储帐户来自同一租户,但是它们可以属于该租户中的任何订阅。
若要了解如何配置资源实例规则,请参阅 为 Azure 存储创建资源实例网络规则。
受信任的 Azure 服务的例外
如果需要在网络边界之外启用来自 Azure 服务的流量,可以添加 网络安全异常。 当 Azure 服务从无法包含在你的虚拟网络或 IP 网络规则中的网络运行时,这一点可能会十分有用。 例如,某些服务可能需要读取帐户中的资源日志和指标。 可以通过创建网络规则例外来允许对日志文件、指标表或两者进行读取访问。 这些服务使用强身份验证连接到存储帐户。
若要详细了解如何添加网络安全异常,请参阅 管理网络安全异常。
有关可为其启用流量的 Azure 服务的完整列表,请参阅 受信任的 Azure 服务。
限制和注意事项
在为存储帐户实现网络安全之前,请确保查看所有限制和注意事项。 有关完整列表,请参阅 Azure 存储防火墙和虚拟网络配置的限制和限制。