2

我们正在 Azure 中设计一个多位置部署,要求将用户发送到他们最近的来源。目前我们正在使用流量管理器,但这会导致我们在客户端基础设施的另一层出现一些问题。

我们正在调查的另一个选项是 Front Door,但它带来了一个新的挑战——我们如何防止我们的起源被公开?

对于流量管理器,Microsoft 发布了一个探测 ip 列表,我们可以在我们的 webapps 中将其列入白名单:https ://docs.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#what-are-the -ip-addresses-from-which-the-health-checks-originate

前门是否提供类似的东西?理想的结果是我们可以将一组 IP 地址(ala https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json)导入我们的 webapps 防火墙。

4

3 回答 3

3

您可以通过将 Azure FrontDoor 服务使用的任播IP 地址范围列入白名单来锁定对源的访问:

IPv4 - 147.243.0.0/16

IPv6 - 2a01:111:2050::/44

来源:如何将对我的后端的访问锁定为仅 Azure Front Door 服务?

于 2019-05-21T09:21:53.253 回答
1

Azure 前门服务提供动态网站加速 (DSA),包括全局 HTTP 负载平衡。Front Door Service 混合了 ADC 和 CDN 网络。当进行运行状况探测时,Front Door 环境将发送探测,该DOC指出全球大约有 90 个 Front Door 环境或 POP。该文档似乎无法描述 Front Door 环境中的具体探测 IP 地址。你可以在 Github 上查看这个问题。

目前,Front Door 服务为公共预览版,发布可能需要一些时间。另外,不建议在生产环境中使用它。

于 2019-01-03T08:27:14.567 回答
1

您现在可以使用 Azure Front Door 服务标记来管理将流向后端的流量限制为仅 AFD 的方案。服务标签概述

服务标记表示来自给定 Azure 服务的一组 IP 地址前缀。Microsoft 管理服务标签包含的地址前缀,并在地址更改时自动更新服务标签

上述文档中还提供了 AFD 的服务标签,为了以所述方式限制访问,您可以使用 AzureFrontDoor.Backend 服务标签。

假设您的后端可以支持它,您还可以添加一个进一步的过滤器,以确保访问您的后端的流量不仅来自 AFD 的 IP 范围,而且它是您的 AFD!请参阅此文档

...将后端的流量限制为 Front Door 发送的标头“X-Azure-FDID”的特定值

您的 AFD 的 ID 可以通过以下方式检索:

使用 API 版本 2020-01-01 或更高版本在 Front Door 上执行 GET 操作。在 API 调用中,查找 frontdoorID 字段。过滤 Front Door 发送到后端的传入标头“X-Azure-FDID”,其值与字段 frontdoorID 的值相同。您还可以在 Front Door 门户页面的概览部分下找到 Front Door ID 值。

于 2021-01-06T10:53:51.460 回答