我已经设置了一个带有 Web 应用程序防火墙的 Azure 应用程序网关,以将流量路由到一个 azure 应用程序服务。这需要设置 VPN。我已按照类似的说明进行操作:https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-powershell
但是,它没有说明如何仅通过应用程序网关限制应用服务的流量。
如果我进入应用服务网络选项卡,则可以选择使用 VNet 集成。我认为这可能是一种锁定通过网关访问应用程序服务的方法,但我无法选择网关 VPN,因为 azure 告诉我“这个虚拟网络没有网关”。
那么如何锁定对应用服务的访问,以便只有通过网关的流量才能访问它?
【问题讨论】:
标签: azure azure-web-app-service azure-application-gateway
那么如何锁定对应用服务的访问,以便只有通过网关的流量才能访问它?
根据我的理解,您对Application Gateway 无能为力。但是您可以利用 IP and Domain Restrictions for azure web sites 来允许流量通过您的应用程序网关访问您的 azure Web 应用程序。这是一个类似的issue。一种简单的方法是,您可以登录 azure 门户,选择您的 Web 应用,单击“设置 > 网络”,然后单击 IP 限制部分下的配置 IP 限制,以添加您的自定义 IP 限制。
【讨论】:
我已将以下内容添加到我的 ARM 模板以设置应用服务的 web.config:
{
"type": "Microsoft.Web/sites/config",
"name": "[variables('website_config')]",
"apiVersion": "2016-08-01",
....
"ipSecurityRestrictions": [
{
"ipAddress": "[reference(resourceId('Microsoft.Network/publicIPAddresses', variables('publicIPAddressName'))).IpAddress]",
"subnetMask": "255.255.255.255"
}
]
},
"dependsOn": [
"[resourceId('Microsoft.Web/sites', variables('websites_name'))]",
"[resourceId('Microsoft.Network/publicIPAddresses', variables('publicIPAddressName'))]"
]
},
资源公网IP地址是网关设置的
我无法再使用我想要的网址 http://.azurewebsites.net 访问应用服务。最初,当我访问公共 IP 地址时,我收到错误消息:“502 - Web 服务器在充当网关或代理服务器时收到无效响应。”不过过了一会儿就正常了。
【讨论】: