Azure 中的跨订阅专用终结点

Question

是否可以在两个服务之间使用私有端点 -

• 在不同的 VNET 中
• VNET 在不同的订阅中，并且 VNET 没有对等
• 订阅在不同的租户中

在类似的线路上，私人链接似乎也可以支持相同的 - Support for across VNET sharing。摘录如下 -

" Azure 平台上的私有访问服务：将您的虚拟网络连接到 Azure 中的服务，而无需在源或目标处使用公共 IP 地址。服务提供者可以在他们自己的虚拟网络中提供他们的服务，而消费者可以在他们的本地虚拟网络中访问这些服务。 Private Link 平台将通过 Azure 主干网络处理消费者和服务之间的连接”

问候， 尼丁

Answer 1

在这种情况下，我认为没有 VNet 对等是不可能的。

经过我的验证，我们可以在每个 VNet 中使用私有端点和VNet to VNet peering enabled 访问不同订阅和不同租户中的服务。

在 subA 和 TenantA 中，我创建了

• VNetA 和一个没有公共 IP 的 Azure VMa 部署在该 VNet 中。我们可以使用该 VNet 中的堡垒主机访问 VM。参考this。

在 subB 和 TenantB 中，我创建

• 一个存储帐户和一个专用 DNS 区域 privatelink.file.core.windows.net 和一个 VNetB。
• 启用此存储帐户和存储子资源file的专用终结点，您可以参考this

注意，我们应该将 VNetA 和 VNetB 链接在同一个私有 DNS 区域中，然后我们可以将文件共享 FQDN 解析为来自 Azure VMa 的私有 IP 地址。此外，我们应该使用对两个订阅都具有足够权限的帐户。

如果没有 VNet 对等互连，则网络连接被阻止，因为 VNet A 和 VNet B 属于不同的隔离虚拟网络，并且没有来自 VNet A 和 VNet B 的路由。

如果VNet互相对等，则网络连接成功。

Answer 2

完全有可能，私有端点在订阅和租户中都能正常工作。您只需要稍微不同地创建它们。从目标端创建它们，然后在“资源”页面上选择“通过资源 ID 或别名连接到 Azure 资源。”。并粘贴您要连接的资源 ID。资源ID可以在资源概览页面-JSon链接获取。 一个完成 - 转到源 - >私有端点并手动批准请求的私有端点。