鉴于我创建了一个 Azure“应用服务”
如何确保此服务只能从...调用
A.> 2 个现有的外部服务器(其 IP 地址已知)
B.> 我将创建 3 个其他应用服务,但可能不知道其 IP 地址,因为我可能需要扩展它们(通过多个附加实例)
澄清...是否有一些 Azure 服务可以让我将这组机器(真实和虚拟)视为一个单独的组,这样我就可以对传入的请求进行一些测试,看看它们是否来自这个组?
【问题讨论】:
标签: azure azure-web-app-service
关于 Azure WebApps,您可能想知道; IP 限制 (https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions) 允许您定义允许访问您的应用程序的 IP 地址列表。允许列表可以包括单个 IP 地址或由子网掩码定义的 IP 地址范围。当从客户端生成对应用程序的请求时,会根据允许列表评估 IP 地址。如果 IP 地址不在列表中,应用会回复 HTTP 403 状态代码。
您可以使用 IP 和域限制来控制在您的网站中允许或拒绝访问的 IP 地址集和地址范围。借助 Azure WebApps,您可以使用位于其网站上的 web.config 文件启用/禁用该功能以及自定义其行为。
此外,VNET 集成使您的 Web 应用程序可以访问虚拟网络中的资源,但不会授予您从虚拟网络对 Web 应用程序的私有访问权限。私有站点访问仅适用于配置了内部负载均衡器 (ILB) 的 ASE。 如果您尚未对此进行检查,请查看将您的应用与 Azure 虚拟网络集成以了解有关 VNET 集成的更多详细信息 (https://docs.microsoft.com/en-us/azure/app-service/web-sites-integrate-with-vnet)
【讨论】:
我强烈建议放弃整个我的 IP 方法并使用 OAuth。 Azure AD 为您提供了适度的访问令牌 —
Service to service calls using client credentials (shared secret or certificate)
否则,TLS 客户端身份验证将在我的列表中。尽管如果您必须处理多个编程堆栈、TLS 卸载程序等等,这往往会很糟糕。
【讨论】: