允许通过前端 WebApp 从 Internet 访问后端 Worker Role答案

【问题标题】：Allow access from Internet via front-end WebApp to back-end Worker Role允许通过前端 WebApp 从 Internet 访问后端 Worker Role
【发布时间】：2016-02-15 04:47:23
【问题描述】：

我想知道是否可以从 Azure WebApps 访问 Worker Roles，以便对上述工作角色的访问仅限于上述 WebApp（即它们代理对内部工作角色的调用），并且可能还允许其他一些内部访问这些工作角色的资源（只是为了清楚，但我认为那里没有问题，因为 VNET 很容易部署）。

在研究此主题时，我在 Azure 反馈中遇到了 Access security to an Azure App Service API App，它看起来很接近，但不完全或 How can we improve Azure Web Apps (formerly Websites)?。看起来它可以通过WebApp ASE 实现，但它看起来也有很多服务，我主要关心的是锁定从面向 WebApp 的公共 Internet 的路径，以便它可以调用内部工作角色，但是无法从 Internet 直接访问工作角色。

我还看到还有其他选择，例如仅使用 web 和计算角色，但这带有成本和部署方便的想法（我看到有 YAMS，看起来很不错）。

我忘了我在一年前问过几乎相同的问题How to connect Azure Web Sites to a Worker Role (TCP) through a (regional) vnet? Is it possible?。这基本上也是这个问题的问题。

【问题讨论】：

标签： azure azure-web-app-service azure-cloud-services

【解决方案1】：

最安全的方法是使用经典 vNet 并通过它们将应用程序与辅助角色连接起来。这样您就可以使用网络安全组来进一步锁定您的服务。我已经这样做了，效果很好。这是相关的文档：https://azure.microsoft.com/en-us/documentation/articles/web-sites-integrate-with-vnet/ 如果您需要分别扩展 Web 和 Worker，您可以将您的服务放在 WebJob 上，然后部署到 Web 应用程序并在 vNet 中进行设置。

【讨论】：

啊，但看起来我需要 WebApp ASE 来部署 VNET，而且成本更高。我想知道其他链接的帖子，我会采取 API 应用程序的路线——比如azure.microsoft.com/en-us/documentation/articles/…——然后我可以连接到后端计算角色。据我所知，这里的关键是使用那些更便宜的 WebApp（或 WebApp 加上一些 API）作为前端，在计算角色中代理对有状态服务的一些调用。
不要介意 ASE 部分。它不会让你付出任何代价。只需创建您的 Web 应用程序并将其连接到 vNet。但是，我查看了 API 应用程序（我没有用它构建任何东西），它看起来非常棒，但确实有区别。我建议的方式将使后端免受过度发布攻击和其他服务的干预，而 API 应用程序是公开的并受到身份验证的保护。 o 你需要什么样的安全措施？
而且，我认为 API 应用程序看起来更具前瞻性，因为经典堆栈中尚未升级/重写为 Resouce 管理器的服务过着危险的生活..
我从azure.microsoft.com/en-us/documentation/articles/… 看到。它需要标准版或高级版。我很乐意避免的费用。 :)。我想目前没有其他方法，这就是“解决方案”。