使用服务标签而不是 IP 将应用服务限制为 Front Door

Posted 2023-02-19

【中文标题】使用服务标签而不是 IP 将应用服务限制为 Front Door

【英文标题】：Restrict App Services to Front Door using Service tag and not IP

【发布时间】：2021-03-09 14:49:54

【问题描述】：

我阅读了来自 MS 和其他博客文章的文档，但我仍然对如何将 AppServices 的访问权限限制为仅 FrontDoor 感到困惑。

根据文档，我发现我们需要应用 IP ACL（我不谈论 X-FrontDoor-ID）。 我遵循他们的指导方针，发现允许的 IP 超过 100 个。

我的问题是为什么不能只使用下面的 ServiceTag ？仅一条规则不足以确保安全吗？

你的想法？ 谢谢

【参考方案1】：

根据我的理解，服务标记代表来自给定 Azure 服务的 IP 地址组 前缀。 Microsoft 管理服务标签所包含的地址前缀，并经常自动更新服务标签。您应该在 Azure 应用服务访问限制中使用该服务标记 AzureFrontDoor.Backend，除非该服务标记在 Azure IP Ranges and Service Tags 中不匹配。阅读this blog 了解更多详情。但是，这种情况很少见。

【讨论】：

谢谢 Nancy。我也明白使用 ServiceTag 比使用 IP 列表更好。一些文章和博客不断邀请使用 IP。我不明白为什么;)

来自 MS 技术支持的回答：关于第三方文章，我无法为您提供太多建议。但是，我可以建议您 IP 和 ServiceTag 限制适用于不同的情况。限制 IP 时，您将拒绝或仅允许该特定连接，并请记住，您可以限制的 IP 行数为​​ 512 行。但是，您可以使用服务标签指定允许或拒绝 Azure 的不同部分。在我们的例子中，ServiceTag 将是实现您的目标的最快方式。