Azure ASE v2 - ограничить доступ к сети для служб приложений

Question

У меня есть ILB ASE v2 с WAF (публичный IP).ASE имеет свою подсеть, в которой находятся все веб-приложения.По очевидным причинам безопасности я думаю, что мне нужно заблокировать доступ из Интернета и оставить открытым только HTTPS.Но когда я это делаю, я не вижу информации о сервисах приложений на портале.Так как должен выглядеть мой NSG для этой подсети?

Кроме того, у WAF есть собственная подсеть.Он также не имеет назначенного NSG.Должен ли он иметь один?

Answer 1

Вот результирующие правила, установленные для NSG подсети ASE:

вы можете добавить к нему HTTP, если вам это нужно.

Answer 2

Когда вы добавляете NSG в подсеть AppSercice с помощью запрета всего интернет-трафика, он блокирует портал для получения информации с App Device.Попробуйте добавить правило NSG с более высоким приоритетом, указав исходный IP-адрес в качестве тега Azure Cloud, и разрешите его.

Таким образом, вы блокируете весь интернет-трафик и разрешаете IP-адреса Azure для связи.

Дайте мне знать, если это работает.