使用服务标签而不是 IP 将应用服务限制为 Front Door

Posted

技术标签:

【中文标题】使用服务标签而不是 IP 将应用服务限制为 Front Door【英文标题】:Restrict App Services to Front Door using Service tag and not IP 【发布时间】:2021-03-09 14:49:54 【问题描述】:

我阅读了来自 MS 和其他博客文章的文档,但我仍然对如何将 AppServices 的访问权限限制为仅 FrontDoor 感到困惑。

根据文档,我发现我们需要应用 IP ACL(我不谈论 X-FrontDoor-ID)。 我遵循他们的指导方针,发现允许的 IP 超过 100 个。

我的问题是为什么不能只使用下面的 ServiceTag ?仅一条规则不足以确保安全吗?

你的想法? 谢谢

【问题讨论】:

【参考方案1】:

根据我的理解,服务标记代表来自给定 Azure 服务的 IP 地址组 前缀。 Microsoft 管理服务标签所包含的地址前缀,并经常自动更新服务标签。您应该在 Azure 应用服务访问限制中使用该服务标记 AzureFrontDoor.Backend,除非该服务标记在 Azure IP Ranges and Service Tags 中不匹配。阅读this blog 了解更多详情。但是,这种情况很少见。

【讨论】:

谢谢 Nancy。我也明白使用 ServiceTag 比使用 IP 列表更好。一些文章和博客不断邀请使用 IP。我不明白为什么;) 来自 MS 技术支持的回答:关于第三方文章,我无法为您提供太多建议。但是,我可以建议您 IP 和 ServiceTag 限制适用于不同的情况。限制 IP 时,您将拒绝或仅允许该特定连接,并请记住,您可以限制的 IP 行数为​​ 512 行。但是,您可以使用服务标签指定允许或拒绝 Azure 的不同部分。在我们的例子中,ServiceTag 将是实现您的目标的最快方式。

以上是关于使用服务标签而不是 IP 将应用服务限制为 Front Door的主要内容,如果未能解决你的问题,请参考以下文章

带有服务标签的 Azure 应用服务访问限制不起作用

AWS 弹性 IP 而不是公共 IP?

django系列8.4--django中间件的可应用案例, 限制请求次数与时间

Locust 是不是使用 IP 欺骗?

a标签怎么限制下载次数

在 CSS 中频繁使用“位置”标签而不是使用“边距”和“填充”标签是不是有任何限制?