Конечная точка службы не работает для прокси-серверов функций Azure за шлюзом приложений

Question

Я использую шлюз приложений (WAF) для маршрутизации всего трафика в приложение-функцию Proxy (Premium EP1). Приложение-функция, в свою очередь, получает URL-адреса, подобные приведенным ниже, и направляет их на правильный веб-API. (Я понимаю, что это особенность маршрутизации на основе пути в App Gateway, но мы также делаем внедрение заголовка для обеспечения правильного идентификатора клиента).

domain.com/api1 -> api1.azurewebsites.net
domain.com/api2 -> api2.azurewebsites.net
domain.com/api3 -> api3.azurewebsites.net

Это немного упрощено, но показывает смысл.

Все 4 службы / функции приложения VNet интегрированы в свои собственные подсети с делегированием serverFarms в каждой и конечными точками обслуживания в Microsoft.Web. Все 4 службы приложений также имеют ограничения доступа, применяемые только для разрешения трафика из подсетей.

По какой-то причине трафик из Proxies Function App не проходит через веб-API из-за ограничений доступа. Когда я добавляю в белый список внешние IP-адреса приложения-функции для служб приложений, трафик пропускается. Мне это кажется неправильным, так как я думал, что они будут использовать конечные точки частного сервиса, которые занесены в белый список через подсеть?

Кто-нибудь знает, является ли это ожидаемым поведением?

Answer 1

Экземпляр Premium EP1 на момент использования является экземпляром Preview, а функция интеграции VNet также находится в Preview.Экземпляр не был внесен в белый список, чтобы разрешить использование VNet Integration.

Microsoft была достаточно любезна, чтобы добавить его в белый список, чтобы мы могли разрешить тестирование.

Answer 2

Теперь, с помощью Application Gateway V2 SKU, вы можете переписать заголовок.Таким образом, чтобы упростить настройку, вы можете удалить функции Azure из своей среды и внести белый список IP-адреса шлюза приложения в веб-приложение.

Вы можете проверить переписывание HTTP в Application gateway здесь .