我们正在利用 Azure Web Apps 的功能访问限制。我们限制访问并允许我们的虚拟网络上的特定 IP 和子网。
问题在于,只有位于该特定子网上的 VM 才能访问 Web 应用程序,而位于不同子网上的 VM which doesn't make sense.
这种行为是违反直觉的设计,还是没有按应有的方式工作?
【问题讨论】:
标签: azure-web-app-service azure-virtual-network azure-webapps
Ist Part--
是的,这种行为是违反直觉的设计。为了您清楚地理解Thread,您在这里指的是两个虚拟机可以从不同的子网相互通信,但它们应该驻留在同一个 VNET 中。这是设计使然,您可以关注此MS document. 了解更多信息。
第二部分——
这也是设计使然,驻留在该特定子网上的 VM 能够访问 Web 应用程序,并且通过设置访问限制,您定义了一个按优先级排序的允许/拒绝列表,即 IP 地址或 Azure 虚拟网络子网.
当向您的应用发出请求时,系统会根据您的访问限制列表中的规则评估 FROM 地址。如果 FROM 地址位于配置了 Microsoft.Web 服务终结点的子网中,则会将源子网与访问限制列表中的虚拟网络规则进行比较。如果根据列表中的规则不允许该地址访问,则服务会回复HTTP 403 状态代码。
请关注document了解更多信息。
【讨论】: