Azure Правило NetworkSecurityGroup для WebApp

Question

Я хочу включить трафик c из моего веб-приложения (которое находится внутри VNET и имеет свой частный IP-адрес) на шлюз приложений (который развернут на том же VNET и имеет NSG, подключенный к его su bnet).

Как это сделать?

Если я добавлю исходящий IP-адрес webapp в NSG, как разрешено - трафик c работает нормально, но я не хочу жестко кодировать этот IP-адрес.

Если я добавлю службу «Inte rnet» тег, он тоже работает, но на мой вкус он слишком широк.

Мне не удалось найти другие подходящие теги службы (пробовал «AppServiceManager», «AppService» и «AppService.AustraliaEast»). Также проверил этот документ (и пришлось обновить имя файла до прошлого понедельника! :)), но не смог найти IP, который работал у меня (52.187.231.76).

Идеальным решением было бы чтобы разрешить только VNET трафик c, но это тоже не помогло ... Все ServiceEndpoints присутствуют.

Answer 1

Проверено при поддержке Azure. К сожалению, для этого пока нет сервисных тегов.

Обходной путь - вручную добавить правила безопасности для каждого приложения, которое должно получить доступ к шлюзу приложений, чтобы разрешить исходящие IP-адреса .

Для этого - с go на azure портал, к приложению, которому необходимо иметь доступ к App GW. Go в колонку свойств и скопируйте Outbound IP addresses. Затем go в NSG и создайте новое правило безопасности для входящего трафика, чтобы разрешить доступ со всех этих IP-адресов (по крайней мере, это может быть 1 правило).

Согласно поддержке Azure эти IP-адреса не должны изменяться, если вы воссоздайте все веб-приложение, и приложение сможет циклически перебирать только эти IP-адреса.