使用专用端点定期在 App Service 上获取 403 IP Forbidden
Periodically getting 403 IP Forbidden on App Service with private endpoint
我在 Azure 上的 1 个应用服务计划上有 6 个应用服务,每个服务都有专用终结点。每个 Web 应用程序都在使用 VNet 集成。
在其中的 3 个上,我不时遇到 403 IP Forbidden。几分钟后,它恢复正常,没有任何配置更改。
- 没有设置 IP 限制。
- 在网络上 -> 专用端点连接状态为已批准。
- 我可以在私有 DNS 区域中看到我的应用服务。
nslookup 返回给我正确的地址,但在 403 期间我收到 Web 应用程序的入站 IP 地址。
你知道这里可能有什么问题吗?
我曾看到过有关 VNet 集成问题的问题,并且曾与 Microsoft 联系过。有一些已知问题导致应用了错误的 IP。
转到您的应用服务上的“诊断和解决问题”link,然后在搜索框中输入“vnet”。选择“区域 VNet 集成”,并查看其输出。当我们遇到问题时,我们发现服务中的一个实例没有在 VNet 中获取私有 IP 地址。
我们通过重新启动应用服务或将应用服务扩展到完全不同的层(例如从 S2 到 P1v2)来“解决”,等待扩展完成,测试它(包括 运行 故障排除程序和验证地址),然后缩减到原始层级。这里的想法是将应用程序服务从其当前标记转移到另一个标记上。
问题出在 DNS 服务器基础结构中。我们将 DNS 服务器从本地迁移到 Azure,它解决了这个问题。
如果您需要本地 DNS(VPN 有时会发挥作用!),然后为 azurewebsites.net 配置条件转发器(以及您将使用私有端点的任何其他转发器)以将这些请求转发给您的 azure VPN 上的 DNS 将解决问题。
我在 Azure 上的 1 个应用服务计划上有 6 个应用服务,每个服务都有专用终结点。每个 Web 应用程序都在使用 VNet 集成。 在其中的 3 个上,我不时遇到 403 IP Forbidden。几分钟后,它恢复正常,没有任何配置更改。
- 没有设置 IP 限制。
- 在网络上 -> 专用端点连接状态为已批准。
- 我可以在私有 DNS 区域中看到我的应用服务。
nslookup 返回给我正确的地址,但在 403 期间我收到 Web 应用程序的入站 IP 地址。
你知道这里可能有什么问题吗?
我曾看到过有关 VNet 集成问题的问题,并且曾与 Microsoft 联系过。有一些已知问题导致应用了错误的 IP。
转到您的应用服务上的“诊断和解决问题”link,然后在搜索框中输入“vnet”。选择“区域 VNet 集成”,并查看其输出。当我们遇到问题时,我们发现服务中的一个实例没有在 VNet 中获取私有 IP 地址。
我们通过重新启动应用服务或将应用服务扩展到完全不同的层(例如从 S2 到 P1v2)来“解决”,等待扩展完成,测试它(包括 运行 故障排除程序和验证地址),然后缩减到原始层级。这里的想法是将应用程序服务从其当前标记转移到另一个标记上。
问题出在 DNS 服务器基础结构中。我们将 DNS 服务器从本地迁移到 Azure,它解决了这个问题。
如果您需要本地 DNS(VPN 有时会发挥作用!),然后为 azurewebsites.net 配置条件转发器(以及您将使用私有端点的任何其他转发器)以将这些请求转发给您的 azure VPN 上的 DNS 将解决问题。