我们希望将Application Gateway用作我们托管的网站的前端\代理。该网站具有公共IP,但是我们希望将对网站的访问限制为仅来自应用程序网关的流量。有没有办法确定流量在退出Azure时将来自哪个IP?就像其他Azure流量一样,它可能来自他们分配给该特定区域的任何IP子网吗?我没有看到这个问题,也没有在我可以找到的任何MS文档中直接引用。
谢谢!
答案 0 :(得分:0)
不确定是否要限制对网站的访问,使其仅限制来自Application Gateway的流量,因为如果您对其进行配置并将网站添加到Application Gateway的后端中,则无法确定。来自客户端的流量将始终通过应用程序网关到达网站,因为应用程序网关通过接受流量并作为应用程序代理来工作,并根据其定义的规则将流量路由到适当的后端实例。
您可能想知道通过NSG限制对应用程序网关子网的访问。然后,将通过NSG过滤Application Gateway子网中的入站或出站流量。
该应用程序支持网络安全组(NSG) 网关子网具有以下限制:
必须为端口65503-65534上的传入流量设置例外 适用于Application Gateway v1 SKU和适用于v2的端口65200-65535 SKU。 Azure基础结构需要此端口范围 通讯。它们受到Azure证书的保护(锁定)。 没有适当的证书,外部实体,包括 这些网关的客户将无法启动任何更改 在这些端点上。
无法阻止出站互联网连接。
必须允许来自AzureLoadBalancer标记的流量。
希望这会有所帮助,如果您还有其他疑问,请告诉我。
如果只想将防火墙上的Azure服务列入白名单,则可以阅读Azure Datacenter IP Ranges。您可以找出您的服务位于哪个数据中心,然后缩小IP范围。