GitHub自托管运行器可以访问位于单独虚拟网络后面的Azure资源

Question

我创建了一些GitHub自托管跑步者，希望他们能够在单独的虚拟网络中访问我的资源。我知道将机器的IP地址列入白名单将使其能够访问，但我最终将拥有任意数量的虚拟机，这些虚拟机可能是自托管的runner，因此为我的每个资源添加/删除这些IP地址白名单似乎是一项大量的手动工作，或者在创建自托管的runner时自动将IP地址白名单到我的每个资源。

我试图将我的自托管跑步者将连接到的虚拟网络对等到我的其余资源的虚拟网络，以为它会授予对自托管跑步者访问这些资源的权限，但当我尝试任何更改或读取资源时，我得到了一个403防火墙错误...我是不是漏掉了什么？通读微软的文档，你会发现虚拟网络是可行的。

我在两个Vnet上都有双向对等，并在对等设置中转发进出这些Vnet的流量。我在两个VNet子网上的NSG只是允许入站和出站VNet流量的基本NSG

https://docs.microsoft.com/en-us/azure/virtual-network/virtual-network-peering-overview

有没有推荐的方法呢？

Answer 1

如果您只是想从一个VNet访问另一个VNet中的资源，网络对等就足够了。但有一个限制，不能有与资源或VNet相关联的NSG。如果存在NSG，则需要添加允许流量的规则。例如，如果资源是虚拟机，则它应按需工作。当然，VM内部的防火墙也应该允许流量。