Ограничение подключений к службе приложений Azure одним IP-адресом

Я хочу, чтобы моя служба приложений Azure разрешала подключения только с определенного IP-адреса.

Моя цель состоит в том, чтобы приложение, которое я развернул в Firebase, было единственной «вещью», которая может вызывать службу приложений Azure.

Что я пробовал до сих пор:

На портале Azure -> Сеть -> Ограничения доступа

введите здесь описание изображения

-> Настройте ограничения доступа и посмотрите, какие правила в настоящее время разрешают все

введите здесь описание изображения

Добавьте новое правило и увидите, что новое правило и одно дополнительное было добавлено (как описано в docs)

введите здесь описание изображения

Попробуйте веб-приложение, IP-адрес которого разрешен новым правилом, и увидите следующую ошибку:

введите здесь описание изображения

Заранее спасибо.

ОБНОВЛЕНИЕ Ограничения доступа в соответствии с предложением ceejayoz введите описание изображения здесь


azure azure-webapps
person Ian Carpenter    schedule 31.08.2019    source источник
comment
Вы пытаетесь получить доступ к своему веб-приложению из браузера? Внесен ли ваш IP-адрес в белый список? Как вы получили ip firebase?   -  person Thomas    schedule 01.09.2019

Ответы (2)


arrow_upward
2
arrow_downward

Если вы хотите ограничить доступ к веб-приложению, вы можете настроить шлюз приложений во внешнем интерфейсе вашего веб-приложения. Затем вы можете использовать функцию ограничения доступа в веб-приложении, чтобы ваше веб-приложение могло получать трафик только от шлюза приложений. Если вы хотите узнать об этом больше, прочтите документ: https://docs.microsoft.com/en-us/azure/application-gateway/configure-web-app-portal

person Community    schedule 02.09.2019

arrow_upward
1
arrow_downward

Я подозреваю, что вы заблокировали запросы проверки работоспособности балансировщиков нагрузки Azure.

https://docs.microsoft.com/en-us/azure/virtual-network/what-is-ip-address-168-63-129-16

Общедоступный IP-адрес 168.63.129.16 используется во всех регионах и национальных облаках. Этот специальный общедоступный IP-адрес принадлежит Microsoft и не изменится. Это разрешено правилом группы сетевой безопасности по умолчанию. Мы рекомендуем вам разрешить использование этого IP-адреса в любых локальных политиках брандмауэра. Связь между этим специальным IP-адресом и ресурсами безопасна, поскольку только внутренняя платформа Azure может отправлять сообщения с этого IP-адреса. Если этот адрес заблокирован, непредвиденное поведение может возникнуть в различных сценариях.

Зондирование работоспособности Azure Load Balancer исходит от этого IP-адреса. Если вы заблокируете этот IP-адрес, ваши зонды не сработают.

person ceejayoz    schedule 31.08.2019
comment
Спасибо за быстрый ответ. К сожалению, проблема осталась прежней. Я обновил свой ответ, чтобы показать, как я добавил это правило (я также пробовал менять приоритеты) - person Ian Carpenter; 01.09.2019
comment
У вашего клиента может быть несколько исходящих адресов (обычно для прокси). Попробуйте получить доступ к сайту SCM, откройте вкладку Env и посмотрите REMOTE_ADDR. Посмотрите, соответствует ли это тому, что вы настроили. - person Suwat Ch; 01.09.2019