我想知道人们如何处理Azure Web App配置了Auto-Scale的情况,该Auto-Scale依赖于已配置IP白名单的服务。
例如,假设我有一个网站(Web A)和另一个提供API的App Service(App B)。我想在App B上设置防火墙规则,以便Web A只能使用IP白名单访问它。
在这种情况下,如果Web A满足Auto-Scale规则,则新扩展的实例可能会有不同的出站IP(根据我对文档的理解,有可能在不同的出站IP上接收到不同的出站IP最小)。 我如何确保App B包含这个新的出站IP?
在这种情况下,我们已经有了用户名/密码验证,但作为一个额外的安全层,我还想配置IP白名单。
答案 0 :(得分:0)
如果Web A满足自动缩放规则,则新扩展的实例可能具有不同的出站IP [...]
没有。所有扩展操作都在扩展单元(标记)内进行,这意味着所有实例的出站IP地址相同。
使用OAuth 2.0 client credential grant(访问令牌)或X509客户端证书保护您的服务到服务呼叫。 IP地址方式不是一种限制访问的云方式,您应该在云中查看IP地址本质上是短暂的,并在OSI模型中处理更高层的访问。
答案 1 :(得分:-1)
您在此处描述的是此服务的工作原理。
没有办法确切地告诉您哪个IP请求API。 Web应用程序可以在不另行通知的情况下将应用程序转移到其他实例,因此请求将来自那里。
但是,还有其他方法可以保护您的API。
我建议您查看在API前面添加AzureAD授权,并要求所有请求在与API进行交互之前获得授权。
参见例如如何