Azure App Service Auto-Scaling - 处理新的出站IP

时间:2018-04-06 05:06:28

标签: azure azure-web-sites autoscaling

我想知道人们如何处理Azure Web App配置了Auto-Scale的情况,该Auto-Scale依赖于已配置IP白名单的服务。

例如,假设我有一个网站(Web A)和另一个提供API的App Service(App B)。我想在App B上设置防火墙规则,以便Web A只能使用IP白名单访问它。

在这种情况下,如果Web A满足Auto-Scale规则,则新扩展的实例可能会有不同的出站IP(根据我对文档的理解,有可能在不同的出站IP上接收到不同的出站IP最小)。 我如何确保App B包含这个新的出站IP?

在这种情况下,我们已经有了用户名/密码验证,但作为一个额外的安全层,我还想配置IP白名单。

2 个答案:

答案 0 :(得分:0)

  

如果Web A满足自动缩放规则,则新扩展的实例可能具有不同的出站IP [...]

没有。所有扩展操作都在扩展单元(标记)内进行,这意味着所有实例的出站IP地址相同。

使用OAuth 2.0 client credential grant(访问令牌)或X509客户端证书保护您的服务到服务呼叫。 IP地址方式不是一种限制访问的云方式,您应该在云中查看IP地址本质上是短暂的,并在OSI模型中处理更高层的访问。

答案 1 :(得分:-1)

您在此处描述的是此服务的工作原理。

没有办法确切地告诉您哪个IP请求API。 Web应用程序可以在不另行通知的情况下将应用程序转移到其他实例,因此请求将来自那里。

但是,还有其他方法可以保护您的API。

我建议您查看在API前面添加AzureAD授权,并要求所有请求在与API进行交互之前获得授权。

参见例如如何