使用服务标签而不是 IP 将应用服务限制为 Front Door
Posted
技术标签:
【中文标题】使用服务标签而不是 IP 将应用服务限制为 Front Door【英文标题】:Restrict App Services to Front Door using Service tag and not IP 【发布时间】:2021-03-09 14:49:54 【问题描述】:我阅读了来自 MS 和其他博客文章的文档,但我仍然对如何将 AppServices 的访问权限限制为仅 FrontDoor 感到困惑。
根据文档,我发现我们需要应用 IP ACL(我不谈论 X-FrontDoor-ID)。 我遵循他们的指导方针,发现允许的 IP 超过 100 个。
我的问题是为什么不能只使用下面的 ServiceTag ?仅一条规则不足以确保安全吗?
你的想法? 谢谢
【问题讨论】:
【参考方案1】:根据我的理解,服务标记代表来自给定 Azure 服务的 IP 地址组 前缀。 Microsoft 管理服务标签所包含的地址前缀,并经常自动更新服务标签。您应该在 Azure 应用服务访问限制中使用该服务标记 AzureFrontDoor.Backend
,除非该服务标记在 Azure IP Ranges and Service Tags 中不匹配。阅读this blog 了解更多详情。但是,这种情况很少见。
【讨论】:
谢谢 Nancy。我也明白使用 ServiceTag 比使用 IP 列表更好。一些文章和博客不断邀请使用 IP。我不明白为什么;) 来自 MS 技术支持的回答:关于第三方文章,我无法为您提供太多建议。但是,我可以建议您 IP 和 ServiceTag 限制适用于不同的情况。限制 IP 时,您将拒绝或仅允许该特定连接,并请记住,您可以限制的 IP 行数为 512 行。但是,您可以使用服务标签指定允许或拒绝 Azure 的不同部分。在我们的例子中,ServiceTag 将是实现您的目标的最快方式。以上是关于使用服务标签而不是 IP 将应用服务限制为 Front Door的主要内容,如果未能解决你的问题,请参考以下文章