我们正在Azure中设计一个多位置部署,该部署要求将用户发送到最接近的来源。目前,我们正在使用流量管理器,但是这导致我们客户端基础结构的另一层出现了一些问题。
我们正在研究的另一种选择是前门,但这带来了新的挑战-我们如何防止我们的血统被公开获得?
对于流量管理器,Microsoft发布了一个探测IP列表,我们可以在我们的Web应用程序中将其列入白名单:https://docs.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#what-are-the-ip-addresses-from-which-the-health-checks-originate
前门提供类似的东西吗?理想的结果是一组IP地址(ala https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json),我们可以将其导入到我们的webapps防火墙中。
答案 0 :(得分:1)
Azure前门服务提供动态网站加速(DSA),包括全局HTTP负载平衡。前门服务混合了ADC和CDN网络。在进行健康状况调查时,前门环境将发送一个探针,此DOC表示全球大约有90个前门环境或POP。似乎该文档无法描述前门环境中的哪个特定探测器IP地址。您可以看看this issue on Github.
当前,前门服务是公开预览,可能需要一些时间才能发布。另外,不建议在生产环境中使用它。
答案 1 :(得分:0)
您可以通过将Azure FrontDoor服务使用的Anycast IP地址范围列入白名单来锁定对源的访问:
IPv4-147.243.0.0/16
IPv6-2a01:111:2050 :: / 44
来源:How do I lock down the access to my backend to only Azure Front Door Service?
答案 2 :(得分:0)
您现在可以使用 Azure Front Door 服务标签来管理将流向后端的流量限制为仅 AFD 的方案。 Overview of service tags:
<块引用>服务标记表示来自给定 Azure 服务的一组 IP 地址前缀。 Microsoft 管理服务标签包含的地址前缀,并在地址更改时自动更新服务标签
上述文档中还提供了 AFD 的服务标签,要以描述的方式限制访问,您可以使用 AzureFrontDoor.Backend 服务标签。
假设您的后端可以支持它,您还可以添加一个进一步的过滤器,以确保到达您后端的流量不仅来自 AFD 的 IP 范围,而且是您的 AFD!见this doc:
<块引用>...将后端的流量限制为 Front Door 发送的标头“X-Azure-FDID”的特定值
您可以通过以下方式获取 AFD 的 ID:
<块引用>使用 API 版本 2020-01-01 或更高版本在您的 Front Door 上执行 GET 操作。在 API 调用中,查找 frontdoorID 字段。过滤前门发送到后端的传入标头“X-Azure-FDID”,其值与字段 frontdoorID 的值相同。您还可以在 Front Door 门户页面的概览部分下找到 Front Door ID 值。