0

我正在使用应用程序网关 (WAF) 将所有流量路由到代理功能应用程序 (Premium EP1)。函数应用反过来采用如下 URL 并将它们定向到正确的 Web API。(我意识到这是 App Gateway 中基于路径的路由的一个功能,但我们也进行标头注入以提供正确的租户 ID)。

domain.com/api1 -> api1.azurewebsites.net
domain.com/api2 -> api2.azurewebsites.net
domain.com/api3 -> api3.azurewebsites.net

这稍微简化了一点,但它表明了这一点。

所有 4 个应用服务/功能都是 VNet 集成到它们自己的子网中,每个都有 serverFarms 委派,以及 Microsoft.Web 的服务端点。所有 4 个应用服务还应用了访问限制以仅允许来自子网的流量。

但出于某种原因,由于访问限制,来自 Proxies Function App 的流量无法通过 Web API。当我将函数应用的外部 IP 地址列入应用服务白名单时,允许流量通过。这对我来说似乎是错误的,因为我认为他们会使用通过子网列入白名单的私有服务端点?

有谁知道这是否是预期的行为?

迷你拱图

4

2 回答 2

0

现在,使用应用程序网关 V2 SKU,您可以重写标头。因此,为了简化您的配置,您可以从您的环境中删除 Azure Functions,并在 Web 应用程序中将应用程序网关 IP 列入白名单。

您可以在此处查看应用程序网关中的 HTTP 重写。

于 2019-06-29T14:24:40.397 回答
0

Premium EP1 Instance在使用时是Preview实例,VNet Integration功能也在Preview中。该实例未被列入允许使用 VNet 集成的白名单。

微软很友好地将它列入白名单,以便我们进行测试。

于 2019-07-05T20:21:06.690 回答