Я работал с инженером поддержки Azure, чтобы попытаться выяснить это, и он не смог определить проблему, поэтому я надеюсь, что кто-то здесь столкнулся с этим сценарием:
Мы настроили нашу первую Azure парадную дверь - конфигурация на этом этапе очень проста - бэкэнд-пул состоит только из одного из наших веб-приложений (Azure Служба приложений) и одного маршрута, который просто перенаправляет все запросы от URL входной двери к URL веб-приложения.
Проблема: каждый отправляемый нами запрос содержит ошибку 403.
Что я сделал и определил:
Веб-приложение Azure имеет ограничения сетевой безопасности, позволяющие только определенным IP-адресам получать доступ к URL-адресу. Мой IP-адрес является частью списка, и если я получаю доступ к URL-адресу веб-приложения напрямую , все работает как положено. Если я пытаюсь получить доступ к URL-адресу Front Door, я получаю сообщение об ошибке 403.
В качестве теста я настроил второе веб-приложение Azure без ограничений IP и добавил его в бэкэнд-пул Front. Дверь. Я могу получить доступ к этому сайту через парадную дверь без проблем. Однако, как только я добавляю хотя бы одну запись «Разрешить» в список «Ограничения сети» (в данном случае мой IP-адрес), я получаю ошибку 403 при переходе по URL-адресу парадного входа.
В качестве еще одного теста я даже добавил 0.0.0.0 в список ограничений IP, чтобы разрешить все - даже при этом я все равно получаю ошибку 403 при попытке получить доступ к URL-адресу парадного входа. Во всех тестовых случаях я могу получить доступ к URL-адресу веб-приложения напрямую без каких-либо ошибок.
Я также полностью отключил WAF для парадной двери просто для того, чтобы ничего не вызывало ошибки 403. То же самое - 403 независимо от того, что происходит при нажатии URL-адреса парадной двери.
Наконец - я делаю чистку в кэше парадной двери между каждым тестом, просто чтобы убедиться, что там ничего не попалось.
Это похоже на возможную ошибку в Front Door и веб-приложениях, которые имеют какие-либо записи в ограничениях IP? Это было бы очень непонятно для меня, хотя мы не можем ожидать, что URL нашего веб-приложения, не предназначенного для публикации c, будет широко открыт для Интернета без ограничений IP ?? Кто-нибудь испытывал и решал эту проблему?
РЕДАКТИРОВАТЬ 1 : инженер службы поддержки Azure предоставил мне IP-адрес для службы входных дверей для добавления в список разрешений веб-приложения. Я добавил, и все равно не повезло - ничего кроме 403. Кажется, если в этом списке сетевых ограничений вообще есть что-нибудь , Front Door не работает должным образом.
EDIT 2 : Кажется, у меня была неправильная запись «Разрешить все» - у меня было 0.0.0.0/32. Как только я изменил его на 0.0.0.0/0, я могу получить доступ к веб-приложению через парадную дверь. Поэтому моя первоначальная оценка, что ЛЮБЫЕ записи в списке, включая «Разрешить все», приводит к ошибкам 403, была неверной. Правильная оценка состоит в том, что любые записи в списке , отличающиеся , кроме 0.0.0.0 (даже мой собственный IP-адрес), вызовут ошибку 403. Таким образом, основная проблема остается: как мы можем защитить наше веб-приложение с ограничениями IP и по-прежнему использовать Azure Front Door с ним?