Azure 記憶體防火牆規則提供對記憶體帳戶公用端點網路存取的細微控制。 根據預設,記憶體帳戶允許來自任何網路的連線,但您可以藉由設定網路規則來定義哪些來源可以連線到您的記憶體帳戶來限制存取。
您可以設定四種類型的網路規則:
- 虛擬網路規則:允許來自 Azure 虛擬網路內特定子網的流量
- IP 網路規則:允許來自特定公用IP位址範圍的流量
- 資源實例規則:允許來自無法透過虛擬網路或IP規則隔離之特定 Azure 資源實例的流量
- 信任的服務例外狀況:允許來自網路界限外之特定 Azure 服務的流量
設定網路規則時,只有來自明確允許來源的流量才能透過其公用端點存取您的記憶體帳戶。 所有其他流量都會遭到拒絕。
附註
從允許來源提出要求的客戶端也必須符合記憶體帳戶的授權需求。 若要深入瞭解帳戶授權,請參閱 授權存取 Azure 記憶體中的數據。
虛擬網路規則
您可以在任何 Azure 虛擬網路中啟用來自子網的流量。 虛擬網路可以來自任何 Azure 區域中任何 Microsoft Entra 租用戶中的任何訂用帳戶。 若要啟用來自子網的流量,請新增 虛擬網路規則。 每個記憶體帳戶最多可以新增 400 個虛擬網路規則。
在子網的虛擬網路設定中,您也必須啟用虛擬網路 服務端點。 此端點的設計目的是要為您的記憶體帳戶提供安全且直接的連線。
當您使用 Azure 入口網站建立網路規則時,這些服務端點會在您選取每個目標子網時自動建立。 PowerShell 和 Azure CLI 提供可用來手動建立它們的命令。 若要深入瞭解服務端點,請參閱 虛擬網路服務端點。
下表說明您可以針對 Azure 記憶體啟用的每個服務端點類型:
| 服務端點 | 資源名稱 | 說明 |
|---|---|---|
| Azure 儲存體端點 | Microsoft 儲存服務 | 提供與虛擬網路相同區域中儲存體帳戶的連線。 |
| Azure 記憶體跨區域服務端點 | Microsoft.Storage.Global | 提供對任何區域的儲存帳戶的連線。 |
附註
您只能將其中一個端點類型與子網產生關聯。 如果其中一個端點已經與子網相關聯,您必須先刪除該端點,再新增另一個端點。
若要瞭解如何設定虛擬網路規則並啟用服務端點,請參閱 建立 Azure 記憶體的虛擬網路規則。
從配對區域存取
服務端點也可以在 配對區域中的虛擬網路和服務實例之間運作。
在 配對區域中 設定虛擬網路和服務實例之間的服務端點,可能是災害復原計劃的一個重要部分。 服務端點可在區域故障轉移期間啟用持續性,並提供唯讀異地備援記憶體 (RA-GRS) 實例的存取權。 將虛擬網路存取權授與儲存體帳戶的虛擬網路規則,也會將存取權授與任何 RA-GRS 執行個體。
在區域性中斷期間規劃災害復原時,請事先在配對區域中建立虛擬網路。 啟用 Azure 儲存的服務端點,並使用網路規則授予這些替代虛擬網路的存取權。 然後將這些規則套用至您的異地備援儲存體帳戶。
IP 網路規則
針對不在虛擬網路中的用戶端和服務,您可以建立 IP網路規則來啟用流量。 每個IP網路規則都會啟用來自特定公用IP位址範圍的流量。 例如,如果來自內部部署網路的用戶端需要存取記憶體數據,您可以建立規則,其中包含該用戶端的公用IP位址。 每個記憶體帳戶最多可支援 400 個 IP 網路規則。
若要瞭解如何建立IP網路規則,請參閱 建立 Azure 記憶體的IP網路規則。
如果您為子網啟用服務端點,來自該子網的流量將不會使用公用IP位址來與記憶體帳戶通訊。 相反地,所有流量都會使用私人IP位址作為來源IP。 因此,允許來自這些子網的流量的IP網路規則不再有作用。
授與特定 IP 位址存取權的 SAS 權杖是用來限制權杖持有者的存取權,但不會為其授與已設定網路規則以外的新存取權。
重要事項
某些限制適用於IP位址範圍。 如需限制清單,請參閱 IP網路規則的限制。
從內部部署網路存取
您可以使用IP網路規則來啟用來自內部部署網路的流量。 首先,您必須識別網路所使用的因特網對應IP位址。 請連絡您的網路管理員以取得協助。
如果您是從內部部署使用 Azure ExpressRoute,則必須識別用於 Microsoft 對等互連的 NAT IP 位址。 服務提供者或客戶會提供 NAT IP 位址。
若要允許存取您的服務資源,您必須在資源 IP 的防火牆設定中允許這些公用 IP 位址。
Azure 資源實例規則
某些 Azure 資源無法透過虛擬網路或 IP 位址規則隔離。 您可以建立 資源實例網路規則,以啟用來自這些資源的流量。 資源實例的 Azure 角色指派會決定資源實例可以在記憶體帳戶數據上執行的作業類型。 資源實例必須來自與記憶體帳戶相同的租使用者,但它們可以屬於租使用者內的任何訂用帳戶。
若要瞭解如何設定資源實例規則,請參閱 建立 Azure 記憶體的資源實例網路規則。
受信任 Azure 服務的例外狀況
如果您需要啟用來自網路界限外部 Azure 服務的流量,您可以新增 網路安全性例外狀況。 Azure 服務從您無法納入虛擬網路或 IP 網路規則的網路中運行時,這可能會很有幫助。 例如,某些服務可能需要讀取帳戶中的資源記錄和計量。 您可以建立網路規則例外狀況,以允許記錄檔、計量數據表或兩者讀取許可權。 這些服務會使用強身份驗證連線到您的記憶體帳戶。
若要深入瞭解如何新增網路安全性例外狀況,請參閱 管理網路安全性例外狀況。
如需您可以啟用流量的完整 Azure 服務清單,請參閱 受信任的 Azure 服務。
限制與考量
實作記憶體帳戶的網路安全性之前,請務必檢閱所有限制和考慮。 如需完整清單,請參閱 Azure 記憶體防火牆和虛擬網路組態的限制和限制。