Azure 存储帐户防火墙规则阻止使用 azure devops 进行 terraform 部署

Question

我想使用 Azure DevOps 管道部署我的 terraform 基础结构，但我遇到了存储帐户防火墙的问题。以下是存储帐户的示例：

resource "azurerm_storage_account" "storage_account" {
  name                              = "mystorageaccount"
  resource_group_name               = "myresourcegroup"
...
  network_rules {
      default_action             = "Deny"
      bypass                     = ["AzureServices", "Logging"]
      ip_rules                   = ["192.1.1.1"]
  }
}

存储帐户的初始创建成功，但由于防火墙规则，所有进一步操作（例如添加容器）都失败并出现未经授权的异常。

不幸的是，为“AzureServices”添加绕过规则不起作用。

我必须添加防火墙规则的原因是因为公司安全准则，所以我不能删除它。

有没有办法用 azure devops 处理存储帐户防火墙规则？

Answer 1

对于 Terraform，我建议运行自己的代理池。生产环境的代理池应与非生产环境分开，并且应位于单独的 vNet 中。然后将网络规则添加到您的存储帐户以允许从代理池子网进行访问。当您使用服务端点时，大多数服务也会发生同样的情况。

//编辑：

检查一些创建 Terraform 管道的新最佳实践。