我已经设置了一个带有 Web 应用程序防火墙的 azure 应用程序网关,以将流量路由到 azure 应用程序服务。这需要设置 VPN。我已按照类似于此的说明进行操作:https ://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-powershell
但是,它没有解释如何仅通过应用程序网关限制应用程序服务的流量。
如果我进入应用服务网络选项卡,则可以选择使用 VNet 集成。我认为这可能是一种锁定通过网关访问应用程序服务的方法,但我无法选择网关 VPN,因为 azure 告诉我“这个虚拟网络没有网关”。
那么如何锁定对应用程序服务的访问,以便只有通过网关的流量才能访问它?
那么如何锁定对应用程序服务的访问,以便只有通过网关的流量才能访问它?
据我了解,您对Application Gateway无能为力。但是您可以利用azure web 站点的 IP 和域限制来允许流量通过您的应用程序网关访问您的 azure web 应用程序。这是一个类似的问题。对于一种简单的方法,您可以登录 azure 门户,选择您的 Web 应用程序,单击“设置 > 网络”,然后单击IP 限制部分下的配置 IP 限制以添加您的自定义 IP 限制。
我已将以下内容添加到我的 ARM 模板中,以便为应用服务设置 web.config:
{
"type": "Microsoft.Web/sites/config",
"name": "[variables('website_config')]",
"apiVersion": "2016-08-01",
....
"ipSecurityRestrictions": [
{
"ipAddress": "[reference(resourceId('Microsoft.Network/publicIPAddresses', variables('publicIPAddressName'))).IpAddress]",
"subnetMask": "255.255.255.255"
}
]
},
"dependsOn": [
"[resourceId('Microsoft.Web/sites', variables('websites_name'))]",
"[resourceId('Microsoft.Network/publicIPAddresses', variables('publicIPAddressName'))]"
]
},
资源公网IP地址是网关设置的
我无法再使用我想要的 url http://.azurewebsites.net 访问应用程序服务。最初,当我访问公共 IP 地址时,我收到错误消息:“502 - Web 服务器在充当网关或代理服务器时收到无效响应。” 但是过了一会儿它工作正常。
在 Azure 门户中,转到 Web 服务的“访问限制”。然后选择仅从应用程序网关所在的 VNet 和子网访问应用程序。
