azure - 强制 Azure 服务通过 Internet 而不是骨干网

问题描述

有没有办法强制存储帐户的流量通过 Internet 而不是 Azure 主干？我的场景：

• 两个 Azure 租户 T1、T2
• T1 具有启用了防火墙的存储帐户并限制了到 T1 子网之一的流量
• T2 想通过 SA 防火墙中的公共 IP 地址异常访问 T1 中的 SA
• 由于某些原因，我们无法在 T1 和 T2 之间进行 Vnet 对等互连

有没有办法强制从 T2 到 T1 的存储帐户的流量通过 Internet 而不是让 Azure 通过 Azure 主干路由它？

微软的文档说：

如果目标地址用于 Azure 的一项服务，Azure 会通过 Azure 的骨干网络将流量直接路由到服务，而不是将流量路由到 Internet。Azure 服务之间的流量不会通过 Internet，无论虚拟网络存在于哪个 Azure 区域，或者 Azure 服务的实例部署在哪个 Azure 区域。您可以覆盖 0.0.0.0/0 地址的 Azure 的默认系统路由带有自定义路由的前缀。”

在 T2 中，作为测试，我部署了：

• 网络
• AzureFirewallSubnet 和 Azure 防火墙
• 子网 1

我在 Subnet1 上创建了一个路由表，其中包含从 0.0.0.0/0 到 AF 私有 IP 的虚拟设备规则。似乎通过 AF 的防火墙将流量路由到存储帐户。但是，似乎只要从 Subnet1 中的 VM 到存储帐户的请求到达 AF，它就会通过 Azure 主干而不是 AF 的公共 IP 进行路由。

能否请您指教，有没有办法强制流量通过 AF 的公共 IP？

标签： azurenetworkingroutingfirewall