Как использовать группу сетевой безопасности, чтобы разрешить только моему веб-приложению взаимодействовать с моим веб-сервисом

Question

Как использовать группу сетевой безопасности, чтобы разрешить только моему веб-приложению взаимодействовать с моим веб-сервисом

У меня есть все ресурсы, которые мне нужны. Я поместил свой веб-сервис в среду службы приложения, а затем подключил NSG к подсети, которую использует среда службы приложения. Затем я разрешил приложениям в VNET обмениваться данными с веб-службой, но она работает неправильно. Какие именно правила безопасности мне нужны?

2

azure web-services networking network-security-groups app-service-environment

Источник

user6857531 03 окт '16 в 13:47

2 ответа

Другие вопросы по тегам azure web-services networking network-security-groups app-service-environment

user4148708 03 окт '16 в 20:08 2016-10-03 20:08 · Answer 1 · 2016-10-03 20:08

Вы, вероятно, хотите вместо этого использовать ILB ASE, поскольку нет смысла выставлять свою среду службы приложений через VIP (публичный IP-адрес), если все, что вам нужно, - это доступ к ней из вашей виртуальной сети.

С https://azure.microsoft.com/en-us/documentation/articles/app-service-environment-with-internal-load-balancer/:

ASE можно развернуть с помощью конечной точки, доступной через Интернет, или с помощью IP-адреса в вашей виртуальной сети. Для установки IP-адреса на адрес виртуальной сети вам необходимо развернуть ASE с помощью внутреннего балансировщика нагрузки (ILB).
Когда ваша ASE настроена с ILB, вы предоставляете:
ваш собственный домен или поддомен. но вы можете настроить его в любом случае.
сертификат, используемый для HTTPS
Управление DNS для вашего субдомена
Взамен вы можете делать такие вещи, как:
размещать приложения интрасети, такие как линейные бизнес-приложения, в облаке, к которому вы получаете доступ через сайт-сайт или ExpressRoute VPN
размещать приложения в облаке, которые не перечислены на общедоступных DNS-серверах
создавать изолированные веб-приложения, с которыми ваши внешние приложения могут безопасно интегрироваться

user7054770 21 окт '16 в 19:13 2016-10-21 19:13 · Answer 2 · 2016-10-21 19:13

Предполагая, что у вас есть WebApp, используется в общедоступной сети (Интернет), а WebService находится внутри Azure VM/Service.

Вы должны создать правила для разрешения трафика на ваш WebService, входящий на конкретный порт, который вы используете, как

Имя: AllowInternetInbound Приоритет: AnyNumberBelowYourDenyAll 100 является хорошим примером SourceIP: ИНТЕРНЕТ использует опцию TAG SourcePort: * DestinationIP: YourWebServiceIP Порт: YourWebServicePort или * Протокол: http или https Доступ: разрешить

Документация: https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/

Если вы опубликуете, как ваше приложение и конфигурация в настоящее время, возможно, мы увидим, что-то не хватает.