Azure 虚拟网络不允许访问

Question

我有两个环境：分阶段和生产。以下设置适用于分阶段但不适用于生产。它们是使用 Arm 模板部署的，所以我不明白为什么它们不起作用。我有以下设置：

• 子网前端的应用服务，网络安全组允许访问互联网
• 子网后端的 Blob 存储
• 虚拟网络
• 用于 Blob 存储的专用端点

在生产中，当应用服务尝试联系 blob 存储时，我收到以下错误。在上演时我没有，一切正常。

Azure.RequestFailedException: This request is not authorized to perform this operation.
RequestId:b648c22e-301e-0008-40e9-89a640000000
Time:2022-06-01T18:58:52.0008425Z
Status: 403 (This request is not authorized to perform this operation.)
ErrorCode: AuthorizationFailure

Content:
<?xml version="1.0" encoding="utf-8"?><Error><Code>AuthorizationFailure</Code><Message>This request is not authorized to perform this operation.
RequestId:b648d22e-301e-0008-40e9-75e640000000
Time:2022-06-01T19:58:52.0008425Z</Message></Error>

我已尝试在生产中删除用于 blob 存储的专用端点，但没有效果。只有从虚拟网络中删除 Blob 存储才允许访问。我已尝试将数据贡献者角色添加到使用博客存储的任何托管身份，但这也不起作用。

如何找到这两种设置之间的差异并使 Blob 存储在生产中的虚拟网络上工作？

Answer 1

此错误是由于防火墙和虚拟网络中缺少必要的配置造成的。客户端 IP 地址尚未添加到存储帐户的防火墙规则中。

要更改它，请转到：

存储帐户 > {yourAccount} > 网络 > 防火墙和虚拟网络 并添加您的 IP 地址

如果您启用此选项，并且是否勾选“允许受信任的 Microsoft 服务访问”，您将收到此错误，因为自动化未列在 MS 受信任的服务下。见https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security#trusted-microsoft-services。

参考：This request is not authorized to perform this operation. Azure blobClient