Блокировать трафик к веб-интерфейсу Azure, связанному с ASE

Question

Я создал среду службы приложений, и с ней связано несколько веб-приложений и веб-API. Я хочу достичь соглашения, при котором только моя служба приложений имеет доступ к API, поэтому пытаюсь блокировать трафик к API с помощью IP-ограничения. Но все веб-приложения, а также веб-API имеют одинаковый VIP, и я не могу найти любой другой IP-адрес, связанный с ним.

Также, чтобы присоединить NSG к подсети (в которой есть ASE), нам нужно добавить правила, которые снова нуждаются в конкретном IP. Как мне этого добиться?

Answer 1

Я предполагаю, что вы подготовили внешнюю ASE. «Служба приложений позволяет назначать приложению выделенный IP-адрес. Эта возможность доступна после настройки SSL на основе IP»

Таким образом, вы можете ограничить доступ к некоторым своим приложениям внутри ASE с помощью назначенных приложением IP-адресов на основе IP-адресов (возможно только с внешним ASE и при настройке SSL на основе IP-адресов). Когда вы предоставляете ASE, вы можете выбрать, сколько внешних IP-адресов должна иметь система, в том числе для целей SSL на основе IP.

см. https://docs.microsoft.com/en-us/azure/app-service/environment/using-an-ase#ip-addresses и номер слайда 14 здесь https://8gportalvhdsf9v440s15hrt.blob.core.windows.net/ignite2017/session-presentations/BRK3204.PPTX