【发布时间】:2018-12-20 05:52:20
【问题描述】:
我们希望将应用程序网关用作我们在现场托管的网站的前端\代理。该网站有一个公共 IP,但我们希望将对该网站的访问限制为仅来自应用程序网关的流量。有没有办法确定流量在退出 Azure 时来自哪个 IP?它是否像其他 Azure 流量一样来自他们分配给该特定区域的任何 IP 子网?我没有看到有人问过这个问题,而且我能找到的任何 MS 文档中都没有直接引用它。
谢谢!
【问题讨论】:
【发布时间】:2018-12-20 05:52:20
【问题描述】:
不确定为什么要将对站点的访问限制为仅来自应用程序网关的流量,因为如果您对其进行配置并将网站添加到应用程序网关的后端。来自客户端的流量将始终通过应用程序网关到达网站,因为应用程序网关通过接受流量并根据使用它定义的规则将流量路由到适当的后端实例来充当应用程序代理。
您可能想知道如何通过 NSG 限制对应用程序网关子网的访问。然后将通过 NSG 过滤应用程序网关子网中的入站或出站流量。
应用程序支持网络安全组 (NSG) 具有以下限制的网关子网:
必须为端口 65503-65534 上的传入流量设置例外 对于应用程序网关 v1 SKU 和端口 65200 - 65535 对于 v2 库存单位。 Azure 基础结构需要此端口范围 沟通。它们受 Azure 证书的保护(锁定)。 如果没有适当的证书,外部实体,包括 这些网关的客户将无法启动任何更改 在这些端点上。
无法阻止出站互联网连接。
必须允许来自 AzureLoadBalancer 标记的流量。
希望这会有所帮助,如果您有任何其他问题,请告诉我。
更新
如果你只想在防火墙上将 Azure 服务列入白名单,可以阅读Azure Datacenter IP Ranges。您可以确定您的服务位于哪些数据中心,然后缩小 IP 范围。
【讨论】:
-
谢谢,南希。我们在现场托管的网站实际上只是一个 Web 服务,仅用于与我们的云托管 CRM 进行 API 通信。目前,API 流量仅来自几个可能的 IP,我们只允许来自这些 IP 的流量通过我们的防火墙。在即将到来的更新中,CRM 流量可能来自数千个 IP 地址,我们希望避免将所有这些 IP 添加到我们的防火墙或向世界开放 Web 服务。该服务受密码保护并使用 SSL 加密,我们只是尽量保持锁定状态。
-
是否要从云主机CRM中查找出站流量IP地址?您的特定云主机 CRM 是什么?
-
如果只想将Azure服务加入防火墙白名单,可以阅读Azure Datacenter IP Ranges。您可以确定您的服务位于哪些数据中心,然后缩小 IP 范围。
-
我认为将应用程序网关的 Azure 区域的 Azure 数据中心 IP 范围列入白名单是我们需要做的。它比我希望添加到我们的防火墙的 IP 更多,但这可能是最好的解决方案。谢谢!