【发布时间】:2020-11-10 12:13:30
【问题描述】:
我们有一个 Azure 虚拟机集群,暴露了一些内部 API。为了更安全,我们使用应用程序网关来卸载 ssl。但我们也想限制可以访问此 API 的外部 IP。有没有办法只允许一定范围的 IP 通过应用程序网关进行连接?
谢谢。
【问题讨论】:
标签: azure azure-application-gateway
【发布时间】:2020-11-10 12:13:30
【问题描述】:
对于那些在 2020 年看到这个问题的人,我要补充一点,与 V2 应用程序网关 sku 相比,V1 sku 的端口范围是不同的。
如果您希望将网络安全组添加到您的应用程序网关所在的子网,您需要允许以下端口范围的所有入站流量:
V1:65503-65534
V2:65200-65535
作为参考,如果您尝试将 NSG 分配给应用程序网关子网,但未首先允许所需的端口范围(我的详细信息已被删除),Azure 门户将引发以下错误。
未能保存子网“xxxxxxxxxx”。错误:“网络安全组 xxxxxxxxxx/providers/Microsoft.Network/networkSecurityGroups/”。 xxxxxxxxxx 阻止端口 65200 - 65535 上的传入 Internet 流量到子网 /subscriptions/xxxxxxxxxx/resourceGroups/xxxxxxxxxx/providers/Microsoft.Network/virtualNetworks/xxxxxxxxxx/subnets/xxxxxxxxxx,与应用程序网关 /subscriptions/xxxxxxxxxx/resourceGroups/xxxxxxxxxx/providers/ 关联Microsoft.Network/applicationGateways/xxxxxxxxxx。这对于具有 V2 Sku 的应用程序网关是不允许的。'
一般说明:
- 创建您的网络安全组。确保创建两个传入规则 - (1) 允许上述适用端口范围的所有传入流量,以及 (2) 允许您的必要应用程序端口,例如
80和443,它们是标准 HTTP和 HTTPS 流量端口。当然,这应该与您的应用程序网关上的任何规则/侦听器配置相匹配。 - 从虚拟网络边栏选项卡中,选择适用的虚拟网络,然后从边栏中选择子网。然后,选择您适用的子网,然后会出现一个配置面板,您可以在其中将 NSG 分配给您的子网。
我将进一步提请注意一些可能有帮助的提示。
- 为了管理公共 IP 流量,将网络安全组应用于后端池中定义的虚拟机将不起作用。路由到您的虚拟机的流量来自您的应用程序网关,这当然是与您的应用程序网关关联的实例的 IP,而不是您可能尝试定位的面向公众的客户端 IP。
- 如果您正在测试策略,可能使用您自己的公共 IP,请务必注意,如果您尝试从现有浏览器会话访问您的应用程序,则不会反映这一点。在您完全关闭浏览器或以其他方式使用无痕模式之前,通话将继续有效。
- 可以安全地将网络安全组分配给您的应用程序网关,因为它不会导致停机(除非您忘记创建入站应用程序规则)。
【讨论】:
问。应用程序网关子网是否支持网络安全组?
应用程序网关子网支持网络安全组,但必须为端口 65503-65534 设置例外,以便后端运行状况正常工作。不应阻止出站互联网连接。
所以只需在 NSG 的子网上创建一个网络安全组并限制 IP。网络安全组基本上就是一个防火墙。
https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-nsg
【讨论】:
-
etwrok 安全组不适用于公共 IP。不确定该解决方案是否适用于 Internet 公开服务
-
为什么你认为它没有? :)
-
@4c74356b41 无法在应用网关网络上设置 NSG。该子网会将请求代理到后端,因此没有 NSG 可以使用公共 IP
-
不知道为什么你认为这是真的,官方文档甚至说这是可能的