Azure 应用程序网关退出 IP
Azure Application Gateway exit IPs
我们希望将应用程序网关用作我们现场托管的网站的 frontend\proxy。该网站有一个 public IP,但我们希望将对该网站的访问限制为仅来自应用程序网关的流量。有没有办法确定流量退出 Azure 时来自哪个 IP?它是否像其他 Azure 流量一样可能来自他们分配给该特定区域的任何 IP 子网?我还没有看到有人问过这个问题,而且在我能找到的任何 MS 文档中都没有直接引用它。
谢谢!
不确定为什么要将对站点的访问限制为仅来自应用程序网关的流量,因为如果您对其进行配置并将网站添加到应用程序网关的后端。来自客户端的流量将始终通过应用程序网关到达网站,因为应用程序网关通过接受流量并根据定义的规则充当应用程序代理,将流量路由到适当的后端实例。
您可能想知道如何通过 NSG 限制对应用程序网关子网的访问。然后,应用程序网关子网中的入站或出站流量将通过 NSG 进行筛选。
Network Security Groups (NSGs) are supported on the application
gateway subnet with the following restrictions:
Exceptions must be put in for incoming traffic on ports 65503-65534
for the Application Gateway v1 SKU and ports 65200 - 65535 for the v2
SKU. This port-range is required for Azure infrastructure
communication. They are protected (locked down) by Azure certificates.
Without proper certificates, external entities, including the
customers of those gateways, will not be able to initiate any changes
on those endpoints.
Outbound internet connectivity can't be blocked.
Traffic from the AzureLoadBalancer tag must be allowed.
希望这会有所帮助,如果您有任何其他疑虑,请告诉我。
更新
如果只想在防火墙上将Azure服务列入白名单,可以阅读Azure Datacenter IP Ranges。您可以确定您的服务位于哪些数据中心,然后缩小 IP 范围。
我们希望将应用程序网关用作我们现场托管的网站的 frontend\proxy。该网站有一个 public IP,但我们希望将对该网站的访问限制为仅来自应用程序网关的流量。有没有办法确定流量退出 Azure 时来自哪个 IP?它是否像其他 Azure 流量一样可能来自他们分配给该特定区域的任何 IP 子网?我还没有看到有人问过这个问题,而且在我能找到的任何 MS 文档中都没有直接引用它。
谢谢!
不确定为什么要将对站点的访问限制为仅来自应用程序网关的流量,因为如果您对其进行配置并将网站添加到应用程序网关的后端。来自客户端的流量将始终通过应用程序网关到达网站,因为应用程序网关通过接受流量并根据定义的规则充当应用程序代理,将流量路由到适当的后端实例。
您可能想知道如何通过 NSG 限制对应用程序网关子网的访问。然后,应用程序网关子网中的入站或出站流量将通过 NSG 进行筛选。
Network Security Groups (NSGs) are supported on the application gateway subnet with the following restrictions:
Exceptions must be put in for incoming traffic on ports 65503-65534 for the Application Gateway v1 SKU and ports 65200 - 65535 for the v2 SKU. This port-range is required for Azure infrastructure communication. They are protected (locked down) by Azure certificates. Without proper certificates, external entities, including the customers of those gateways, will not be able to initiate any changes on those endpoints.
Outbound internet connectivity can't be blocked.
Traffic from the AzureLoadBalancer tag must be allowed.
希望这会有所帮助,如果您有任何其他疑虑,请告诉我。
更新
如果只想在防火墙上将Azure服务列入白名单,可以阅读Azure Datacenter IP Ranges。您可以确定您的服务位于哪些数据中心,然后缩小 IP 范围。