【发布时间】:2019-03-16 00:17:26
【问题描述】:
我们的应用程序具有以下结构。目前,我们在为我们的 Service Fabric 定义 NSG 规则以允许来自移动应用程序的调用时,将 Any 用于源和目标(在端口 3389 上)。但是我们的安全团队对 Any-Any 规则提出了担忧。有没有办法优化这个?
注意:我们的移动应用是公开的,任何人都可以从应用商店下载。
【问题讨论】:
标签: azure-service-fabric network-security-groups
【发布时间】:2019-03-16 00:17:26
【问题描述】:
Any to Any 规则打开 SF 以进行附加,因此您应该根据当前模型限制流量管理器的 IP。
Azure API 管理已经内置了对 Service Fabric 的支持,所以我的建议是删除 API 管理和 SF 之间的流量管理器。然后你可以做的就是只从 API 管理限制到 SF 的流量,这更容易。
https://docs.microsoft.com/en-us/azure/service-fabric/service-fabric-api-management-overview
身份验证要求,您可以将其委托给 API 管理,即验证 JWT 令牌
【讨论】:
-
我们实现了主动-主动场景,因此我们无法删除流量管理器。另外,您的建议将如何解决 Any-Any NSG 问题?如图表中所述,我们已经使用 API 管理。
-
每个 API 管理都会有一个 IP 地址。然后,您可以拥有仅允许来自 API 管理 IP 的流量到达后端服务的 NSG。如果您想对从 API 管理到后端服务的流量进行更多控制,例如负载平衡、反向代理等,那么我建议您使用不同的工具,例如 traefik 或 caddy。希望这会有所帮助:-)