Azure APP Service.+ Private Link + Azure Container Registry
Azure APP Service.+ Private Link + Azure Container Registry
我已经设置了 Azure APP 服务并通过私有 Link 连接它,我禁用了所有 public 连接,在使用来自 ACR 的 webhook 进行测试时,我总是收到“错误 403 -禁止
您尝试访问的网络应用已阻止您访问。
"
关于访问限制,我在 scm 和非 scm 主机上都“允许所有”...但我仍然得到相同的结果 - 我没有在环境或应用程序服务计划中找到任何阻止规则 - 在哪里我应该看看吗?
私有 link 用于托管应用程序,而不是应用程序服务资源。这意味着您的托管应用程序可以直接与 APIM 或存储帐户等 Azure 服务进行私下对话。但是当应用服务需要私下从注册表中拉取镜像时,你将不得不使用 ASE 或应用服务环境。
不幸的是,ASE 每月将花费近 1K,因为您要租用他们的数据中心 space 以支持应用服务的隔离。
我并不总是了解 Microsoft 实现私有端点的方式。当您关心网络安全时,您总是希望使用专用端点。但是,专用端点引入了对其他服务的需求,例如 NAT 防火墙、VPN 访问等。更不用说昂贵的应用服务环境 (ASE)。
在将 ACR webhook 与私有端点安全应用服务结合使用的情况下,使用 代理 应用服务或 Azure 函数可能是一种解决方案。您可以在同一个应用服务计划中部署它并启用区域 vnet 集成。这允许代理公开可见,同时仍然能够将虚拟网络内的 webhook 发送到其他应用服务的 scm 站点。出于安全原因,您当然应该使用(托管)身份。
我已经设置了 Azure APP 服务并通过私有 Link 连接它,我禁用了所有 public 连接,在使用来自 ACR 的 webhook 进行测试时,我总是收到“错误 403 -禁止 您尝试访问的网络应用已阻止您访问。
"关于访问限制,我在 scm 和非 scm 主机上都“允许所有”...但我仍然得到相同的结果 - 我没有在环境或应用程序服务计划中找到任何阻止规则 - 在哪里我应该看看吗?
私有 link 用于托管应用程序,而不是应用程序服务资源。这意味着您的托管应用程序可以直接与 APIM 或存储帐户等 Azure 服务进行私下对话。但是当应用服务需要私下从注册表中拉取镜像时,你将不得不使用 ASE 或应用服务环境。
不幸的是,ASE 每月将花费近 1K,因为您要租用他们的数据中心 space 以支持应用服务的隔离。
我并不总是了解 Microsoft 实现私有端点的方式。当您关心网络安全时,您总是希望使用专用端点。但是,专用端点引入了对其他服务的需求,例如 NAT 防火墙、VPN 访问等。更不用说昂贵的应用服务环境 (ASE)。
在将 ACR webhook 与私有端点安全应用服务结合使用的情况下,使用 代理 应用服务或 Azure 函数可能是一种解决方案。您可以在同一个应用服务计划中部署它并启用区域 vnet 集成。这允许代理公开可见,同时仍然能够将虚拟网络内的 webhook 发送到其他应用服务的 scm 站点。出于安全原因,您当然应该使用(托管)身份。