Как заставить сервисные теги работать в группах безопасности? лазурь

Question

Я использую виртуальную машину с сервером nodejs, который прослушивает порт 3000. Я хочу выставить этот сервер с помощью Api Management. Я попытался создать группу безопасности и просто разрешить входящий трафик из моего Api Management, но он не работает.

Я использую группы безопасности и теги службы для указания службы управления Api, но конечная точка дает мнеОшибка 500Если я использую общедоступный ip моего сервиса Api Management, он действительно работает, но мне нужно, чтобы теги сервиса работали.

Я ожидаю, что теги службы фактически свяжут мое управление API с политикой группы безопасности, но я получаю 500.

Answer 1

Я думаю, что тег службы ApiManagement неправильно понят.

Вы можете проверить IP-адреса в службе ApiManagement в официальном JSON: https://www.microsoft.com/en-us/download/details.aspx?id=56519

Тег службы ApiManagement описывает исходные IP-адреса службы ApiManagement Control Plane. Таким образом, когда вы управляете конфигурациями на ApiManagement портала, Azure Resource Manager подключится к вашему Api Management через порт 3443, чтобы применить конфигурацию с исходным IP-адресом из списка тегов службы ApiManagement.

Это для трафика между Интернетом <-> ApiManagement, поэтому вы можете ограничить конечную точку управления только Azure / вашим центром обработки данных.

В вашем случае, между ApiManagement <-> Backend, вы должны использовать Public IP для внешней конфигурации и Private IP для внутренней конфигурации, чтобы ограничить трафик для вашего узла nodejs.

Несколько ссылок на этомтема:

• Как защитить соединение между шлюзом управления API и моими внутренними службами?
• IP-адреса Azure API Management
• Использование службы управления API Azure с внутренней виртуальной сетью