Azure Front Door - 如果 Web 应用网络限制列表中有 IP 允许条目,则 403 禁止访问

Azure Front Door - 403 Forbidden if there are IP Allow entries in the web app Network Restrictions List

我一直在与 Azure 支持工程师一起尝试解决这个问题,但他无法确定问题所在,所以我希望这里有人 运行 了解这种情况:

我们已经设置了我们的第一个 Azure Front Door - 此阶段的配置非常简单 - 后端池仅包含我们的一个 Web 应用程序(一个 Azure 应用程序服务)和一个仅转发所有请求的路由从前门 URL 到网络应用 URL.

问题:我们发送的每个请求都提供 403 禁止错误。

我所做的和确定的:

Azure Web 应用程序具有适当的网络安全限制,仅允许某些 IP 地址访问 URL。我的 IP 地址是列表的一部分,如果我直接 URL 访问 Web 应用程序,一切都会按预期工作。如果我尝试访问前门 URL,我会收到 403 禁止访问错误。

作为测试,我设置了第二个没有 IP 限制的 Azure Web 应用程序,并将其添加到 Front Door 的后端池中。我可以通过 Front Door 毫无问题地访问该站点。但是,只要我在网络限制列表中添加一个允许条目(在本例中是我的 IP 地址),我在前往 Front Door URL 时就会收到 403 错误。

作为另一个测试,我什至将 0.0.0.0 添加到 IP 限制列表以允许所有 - 即使这样,我在尝试访问前门时仍然遇到 403 错误 URL。在所有测试用例中,我可以直接访问网络应用程序 URL 而不会出现任何错误。

我还完全禁用了 Front Door WAF,以确保其中没有任何内容导致 403 错误。同样的事情 - 403 不管什么时候撞到前门 URL.

最后 - 我在每次测试之间对 Front Door 缓存进行了清除,以确保那里没有任何内容。

这似乎是 Front Door 和在 IP 限制中有任何条目的 Web 应用程序可能存在的错误?这会让我感到非常困惑,因为我们不能指望让我们的非 public 面向网络应用程序 URL 在没有 IP 限制的情况下对网络开放?有没有人遇到并解决了这个问题?

编辑 1:Azure 支持工程师为我提供了 Front Door 服务的 IP 地址以添加到 Web 应用程序的允许列表中。我添加了,但仍然没有运气 - 除了 403。似乎如果网络限制列表中有 任何东西,Front Door 无法按预期工作。

编辑 2:似乎我的 Allow All 条目不正确 - 我将其设置为 0.0.0.0/32。一旦我将其更改为 0.0.0.0/0,我就可以通过 Front Door 访问 Web 应用程序。因此,我最初认为列表中的任何条目(包括全部允许)都会导致 403 错误的初步评估是不正确的。正确的评估是 other 列表中任何不是 0.0.0.0 的条目(即使是我自己的 IP 地址)都会导致 403 错误。所以主要问题仍然存在 - 我们如何通过 IP 限制保护我们的 Web 应用程序并仍然使用 Azure Front Door?

Azure Frontdoor 将充当反向代理,这意味着世界各地的 POP 服务器 IP 需要在您的 Web 应用程序网络限制中列入白名单。

它记录在常见问题解答部分 here

由于有多个POP服务器,需要将所有POP服务器的IP加入白名单,然后尝试访问测试。

您也可以将 SR # 分享给我,以便我查看您提出的支持票。