无法通过 VPN 从本地专用 IP 网络访问 Azure Key Vault。 IP私有地址范围被禁止
Cannot access Azure Key Vault from on-premises private IP network via VPN. IP private address range is forbidden
我有 Azure 虚拟网络,其子网通过 VPN 连接到本地网络。一切都使用 10.0.0.0 私有地址 space 进行寻址。通信正在与其他专用终结点一起工作。我已经使用专用端点和防火墙创建了 Key Vault。防火墙配置如下:
- 允许访问:专用端点和选定的网络
- 虚拟网络:只能列出 Azure 子网(我需要从本地访问)
- 防火墙:IPv4 CIDR 仅允许 public 个 IP。 10.0.0.0 地址 space 被禁止。
如何从本地网络访问密钥库?
Azure 门户不允许我添加密钥、机密或证书。消息是:防火墙已打开,您的客户端 IP 地址无权访问此密钥保管库。
当尝试添加我的本地地址范围时,我收到一条消息:在 properties.networkAcls.ipRules[0] 找到无效值。值:10.99.0.0/16 属于禁止范围 10.0.0.0–10.255。 255.255(私有 IP 地址)
如果您想从本地网络使用专用端点访问密钥保管库,您既不需要将本地专用 IP 地址(IP 网络)列入白名单规则仅适用于 public IP 地址),也适用于 Key Vault 防火墙中的任何虚拟网络。你可以confirm that the key vault firewall is properly configured
The following statements also apply to firewall settings:
- The private links feature doesn't require any "virtual network" to be specified in the key vault firewall settings. All requests using
the private IP address of the key vault (see next section) must work,
even if no virtual network is specified in the key vault firewall
settings.
- The private links feature doesn't require specifying any IP address in the key vault firewall settings. Again, all requests using the
private IP address of the key vault must work, even if no IP address
was specified in the firewall settings.
您只需确保您的客户端使用专用端点访问 Azure 密钥保管库,您也可以 validate the DNS resolution。密钥保管库主机名(例如:fabrikam.vault.azure.net)应解析为 IP 地址(例如:10.1.2.3)。
如果您从本地计算机上的 Azure 门户读取或列出密钥。这实际上不使用专用端点,您只需通过 Azure 门户访问或管理密钥保管库。在这种情况下,您需要 look up the public IP 本地客户端,然后将其添加到 Azure 密钥库的防火墙中。
我有 Azure 虚拟网络,其子网通过 VPN 连接到本地网络。一切都使用 10.0.0.0 私有地址 space 进行寻址。通信正在与其他专用终结点一起工作。我已经使用专用端点和防火墙创建了 Key Vault。防火墙配置如下:
- 允许访问:专用端点和选定的网络
- 虚拟网络:只能列出 Azure 子网(我需要从本地访问)
- 防火墙:IPv4 CIDR 仅允许 public 个 IP。 10.0.0.0 地址 space 被禁止。
如何从本地网络访问密钥库? Azure 门户不允许我添加密钥、机密或证书。消息是:防火墙已打开,您的客户端 IP 地址无权访问此密钥保管库。
当尝试添加我的本地地址范围时,我收到一条消息:在 properties.networkAcls.ipRules[0] 找到无效值。值:10.99.0.0/16 属于禁止范围 10.0.0.0–10.255。 255.255(私有 IP 地址)
如果您想从本地网络使用专用端点访问密钥保管库,您既不需要将本地专用 IP 地址(IP 网络)列入白名单规则仅适用于 public IP 地址),也适用于 Key Vault 防火墙中的任何虚拟网络。你可以confirm that the key vault firewall is properly configured
The following statements also apply to firewall settings:
- The private links feature doesn't require any "virtual network" to be specified in the key vault firewall settings. All requests using the private IP address of the key vault (see next section) must work, even if no virtual network is specified in the key vault firewall settings.
- The private links feature doesn't require specifying any IP address in the key vault firewall settings. Again, all requests using the private IP address of the key vault must work, even if no IP address was specified in the firewall settings.
您只需确保您的客户端使用专用端点访问 Azure 密钥保管库,您也可以 validate the DNS resolution。密钥保管库主机名(例如:fabrikam.vault.azure.net)应解析为 IP 地址(例如:10.1.2.3)。
如果您从本地计算机上的 Azure 门户读取或列出密钥。这实际上不使用专用端点,您只需通过 Azure 门户访问或管理密钥保管库。在这种情况下,您需要 look up the public IP 本地客户端,然后将其添加到 Azure 密钥库的防火墙中。