用于在 WebApp 中列入白名单的 Azure 前门探测 ip

Question

我们正在 Azure 中设计一个多位置部署，要求将用户发送到他们最近的来源。目前我们正在使用流量管理器，但这会导致我们在客户端基础架构中的另一层出现一些问题。

我们正在调查的另一个选项是 Front Door，但它带来了新的挑战 - 我们如何防止我们的来源被公开？

对于流量管理器，微软发布了一个探测 ip 列表，我们可以在我们的 webapps 中将其列入白名单：https://docs.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#what-are-the-ip-addresses-from-which-the-health-checks-originate

前门提供类似的东西吗？理想的结果是一组 IP 地址（ala https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json），我们可以将其导入我们的 webapps 防火墙。

Answer 1

您可以通过将 Azure FrontDoor 服务使用的 Anycast IP 地址范围列入白名单来锁定对源的访问：

IPv4 - 147.243.0.0/16

IPv6 - 2a01:111:2050::/44

来源：How do I lock down the access to my backend to only Azure Front Door Service?

Answer 2

Azure 前门服务提供动态网站加速 (DSA)，包括全局 HTTP 负载平衡。 Front Door Service 混合了 ADC 和 CDN 网络。当进行健康探测时，前门环境将发送一个探测，DOC 表示全球大约有 90 个前门环境或 POP。该文档似乎无法描述 Front Door 环境中的具体探测 IP 地址。你可以看看this issue on Github.

目前，Front Door 服务是公共预览版，可能需要一些时间才能发布。另外，不建议在生产环境中使用。

Answer 3

您现在可以使用 Azure Front Door 服务标签来管理将流向后端的流量限制为仅 AFD 的方案。 Overview of service tags:

服务标记表示来自给定 Azure 服务的一组 IP 地址前缀。 Microsoft 管理服务标签所包含的地址前缀，并在地址更改时自动更新服务标签

上述文档中还提供了 AFD 的服务标签，为了以所述方式限制访问，您可以使用 AzureFrontDoor.Backend 服务标签。

假设您的后端可以支持它，您还可以添加一个进一步的过滤器，以确保访问您的后端的流量不仅来自 AFD 的 IP 范围，而且它是您的 AFD！见this doc:

...将后端的流量限制为 Front Door 发送的标头“X-Azure-FDID”的特定值

可以通过以下方式检索您的 AFD 的 ID：

使用 API 版本 2020-01-01 或更高版本在 Front Door 上执行 GET 操作。在 API 调用中，查找 frontdoorID 字段。过滤 Front Door 发送到后端的传入标头“X-Azure-FDID”，其值与字段 frontdoorID 的值相同。您还可以在 Front Door 门户页面的 Overview 部分下找到 Front Door ID 值。