我已设置 Azure APP 服务并通过专用链接连接它,我已禁用所有公共连接,同时使用 ACR 的 webhook 进行测试我总是收到“错误 403 - 禁止您尝试访问的 Web 应用程序已阻止您的访问.
"在访问限制上,我在 scm 和非 scm 主机上都有“全部允许”......但我仍然得到相同的结果 - 我在环境或应用服务计划中没有找到任何阻止规则 - 我应该在哪里看?
问问题
644 次
2 回答
1
专用链接适用于托管应用程序,而不是应用程序服务资源。这意味着您的托管应用可以私下与 APIM 等 Azure 服务或直接与存储帐户通信。但是当应用服务需要私下从注册表中拉取镜像时,您将不得不使用 ASE 或应用服务环境。
不幸的是,一个 ASE 每月将花费近 1K,因为您在他们的数据中心租用空间来支持您的应用程序服务的隔离。
于 2021-03-04T15:25:13.250 回答
0
我并不总是了解 Microsoft 实现私有端点的方式。当您关心网络安全时,您总是希望使用私有端点。但是,私有端点引入了对其他服务的需求,例如 NAT 防火墙、VPN 访问等。更不用说昂贵的应用服务环境 (ASE)。
如果将 ACR webhook 与私有端点安全应用服务结合使用,则使用代理应用服务或 Azure 函数可能是一种解决方案。您可以在同一应用服务计划中部署它并启用区域 vnet 集成。这允许代理公开可见,同时仍然能够将虚拟网络内的 webhook 发送到其他应用服务的 scm 站点。出于安全原因,您当然应该使用(托管)身份。
于 2022-01-20T12:58:24.553 回答