如何允许从某些 IP 访问 Azure 中的某些端点？

Question

我有应用服务，它是用 Node.js 编写的经典网络应用。假设我的应用有 2 个端点：/SecuredEndpoint 和 /ClassicEndpoint。 /SecuredEndpoint 应该是安全的，这意味着只允许某些 IP 地址访问它。另一方面，ClassicEndpoint 对整个互联网都是公开的。

我发现在 Azure 中，我可以为某些 IP 地址指定对整个服务的访问限制（我可以根据 IP 地址阻止/允许访问）。但我想保护的不是整个应用程序，而是某些端点。

有人可以帮助我如何在 Azure 中实现这一目标吗？

Answer 1

限制某些IP地址就是限制网络层的ACL。 Access Restrictions 是有效的网络 ACL。但是，它是在应用服务前端角色中实现的，这些角色位于运行代码的工作主机的上游。在这种情况下，您可以考虑为每个端点选择使用两个应用服务。您可以阅读支持的security in the Azure app service。

或者，您可以在您的特殊代码中允许某些 IP 地址。谷歌一些关于此类功能的示例。可能类似于this SO thread。对于 Windows 上的应用服务，您还可以通过配置 web.config 来动态限制 IP 地址。如需更多信息，请参阅Dynamic IP Security。

此外，如果您对使用 VNet 和服务端点保护后端应用服务 Web 应用感兴趣，可以查看this blog。