禁用Azure App Service的外部IP

时间:2016-03-24 07:38:31

标签: azure azure-api-apps

请帮助我保护从外部访问Azure中的APP服务(Api APP)。 我需要禁用外部IP 。我有Web应用程序,应该可供所有人使用,API应用程序可用于WEB,但不可用供其他人使用。

谢谢, 尼古拉麦梅斯

2 个答案:

答案 0 :(得分:3)

您无法真正禁用WebApp的外部IP地址。 您可以通过多种方式保护 API App。

第一种方法是使用Azure AD Bearer Token身份验证来保护它。请在此处查看此示例:https://azure.microsoft.com/en-us/documentation/articles/active-directory-devquickstarts-webapi-dotnet/

一旦受到保护,您可以在后面的代码上使用ADAL来获取令牌来调用API。

然而,我会提出这个问题 - 您认为您的网络应用程序如何与Web API进行通信?通过浏览器中的JavaScript或Code Behind。因为如果你从浏览器中调用你的Web API,那么你的问题毫无意义!因为有效地每个用户都需要访问您的API才能使JavaScript进行调用!

另一种方法是为您的API创建一个App Service Environment(对于您想要实现的目标而言代价很高)。然后,您可以将此App Service Environment放入虚拟网络的子网中。您将Web App放入anotwer Web App Service计划并将其连接到同一个虚拟网络。 然后您定义此类网络安全组,您只允许内部访问您的App Service环境。

最后,我真的怀疑您要禁用对Web API的Internet访问。您只想保护它,IP地址过滤不是保护Web API的最佳方式。

答案 1 :(得分:1)

除了已建议的AD承载令牌,您还可以使用HTTP基本身份验证使用客户端证书或简单的共享密钥。