Мы собираемся использовать robocopy для синхронизации стопки зашифрованных файлов с общим файловым ресурсом Azure.
Но что нам нужно открыть в брандмауэре, чтобы сервер резервного копирования мог получить доступ к общей папке хранилища Azure? (Это будет SMB3-соединение от Win2012-R2 к хранилищу Azure)
а) Откройте порт 445
б) Но какие IP-адреса?
В нашей учетной записи хранения указаны регионы: Восток США, Запад США
Я нашел эту страницу: https://www.microsoft.com/en-us/download/confirmation.aspx?id=41653
который дает БОЛЬШОЙ список диапазонов (50-100) для покрытия этих двух регионов.
Должен ли я добавить все эти диапазоны в наш брандмауэр, или есть более целенаправленный способ обнаружения диапазонов IP для доступа:
.file.core.windows.net
?
Единственный реальный путь - включить брандмауэр для работы с доменами, а затем открыть его для:
my-sharename.file.core.windows.net
(Для одобренного имени общего ресурса / объекта хранения)
К сожалению, сегодня нет другого пути, кроме как открыть брандмауэр с этими диапазонами IP-адресов (вы нашли нужный документ).
Если вы хотите ограничить больше взаимодействий, вы можете сделать двойную копию: 1- Из вашего центра обработки данных на виртуальную машину Azure (вы откроете только IP-адрес виртуальной машины на брандмауэре центра обработки данных) в том же регионе, что и учетная запись хранения. 2- С виртуальной машины Azure в файл Azure
Конечно, это всего лишь обходной путь (который добавляет дополнительные задачи), чтобы открыть несколько IP / портов между вашим центром обработки данных и файлом Azure.
Было бы неплохо предложить улучшение этого момента в голосе пользователя службы хранилища Azure ;-) https://feedback.azure.com/forums/217298-storage
С уважением
Станислав