Web 应用程序的访问限制阻止访问虚拟网络上的子网
Web Apps’ Access Restrictions Block Access to Subnets on the Virtual Network
我们正在利用 Azure Web Apps 的功能访问限制。我们限制访问并允许在我们的虚拟网络上使用特定的 IP 和子网。
问题是只有驻留在该特定子网上的 VM 才能访问 Web 应用程序,而驻留在不同子网上的 VM 无法访问 Web 应用程序
这种行为是 counter-intuitive 设计的还是没有按应有的方式工作?
本部分--
是的,这种行为是违反直觉的设计。为了您清楚地了解 you are referring here Two Virtual Machine can intercommunicate from different subnet but they should reside in same VNET. It is by design you can follow this MS document.了解更多信息。
第二部分-
这也是设计使然,驻留在该特定子网上的 VM 能够访问 Web 应用程序,并且通过设置访问限制,您已经定义了一个按优先级排序的 allow/deny 列表,即 IP 地址或Azure 虚拟网络子网。
当向您的应用发出请求时,发件人地址将根据您的访问限制列表中的规则进行评估。如果 FROM 地址位于配置了 Microsoft.Web 服务终结点的子网中,则将源子网与访问限制列表中的虚拟网络规则进行比较。如果根据列表中的规则不允许访问该地址,该服务将回复 HTTP 403 状态代码。
请关注此document了解更多信息。
我们正在利用 Azure Web Apps 的功能访问限制。我们限制访问并允许在我们的虚拟网络上使用特定的 IP 和子网。
问题是只有驻留在该特定子网上的 VM 才能访问 Web 应用程序,而驻留在不同子网上的 VM 无法访问 Web 应用程序
这种行为是 counter-intuitive 设计的还是没有按应有的方式工作?
本部分--
是的,这种行为是违反直觉的设计。为了您清楚地了解
第二部分-
这也是设计使然,驻留在该特定子网上的 VM 能够访问 Web 应用程序,并且通过设置访问限制,您已经定义了一个按优先级排序的 allow/deny 列表,即 IP 地址或Azure 虚拟网络子网。
当向您的应用发出请求时,发件人地址将根据您的访问限制列表中的规则进行评估。如果 FROM 地址位于配置了 Microsoft.Web 服务终结点的子网中,则将源子网与访问限制列表中的虚拟网络规则进行比较。如果根据列表中的规则不允许访问该地址,该服务将回复 HTTP 403 状态代码。
请关注此document了解更多信息。