Диспетчер трафика Azure - белый список IP
У меня есть диспетчер трафика Azure через географически распределенную облачную службу. Мне нужно заблокировать мои облачные сервисы, которые в основном являются веб-интерфейсами, чтобы они были доступны только для определенного диапазона или IP-адресов. Есть ли способ добиться этого? Или могут быть способы ограничения IP-адресов в облачных сервисах. Но с сочетанием диспетчера трафика, который будет работать, будет ли диспетчер трафика передавать исходный IP-адрес в облачные службы?
3 ответа
Диспетчер трафика не может фильтровать трафик. Он просто отвечает на запросы DNS от клиентов.
Исходный IP-адрес будет исходным, потому что трафик не проходит через Traffic Manager, он только сообщает вызывающему абоненту, куда идти, и вызывающий затем вызывает вашу службу напрямую.
Поздно к вечеринке, но: если вы в конечном итоге использовали белый список, например, для службы приложений Azure, вам также нужно будет добавить адреса диспетчера трафика. В противном случае диспетчер трафика не сможет проверить работоспособность вашего приложения и сообщить о его ухудшении.
Вы можете найти его здесь: https://docs.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs
Прямая ссылка: https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json
Также опоздали на вечеринку, но мы ограничивали наши службы приложений по IP-адресу, и внезапно наши диспетчеры трафика начали отображать деградацию после того, как они работали нормально в течение многих лет. После долгих исследований мы думаем, что Azure добавила несколько новых диспетчеров трафика, которые находились на разных IP-адресах, поэтому они блокировались нашими ограничениями IP. Первоначальные ограничения включали небольшой диапазон IP-адресов для диспетчера трафика, но этот список выглядит расширенным. Лучшее решение — разрешить диспетчеру трафика не на основе его IP-адреса, а на основе его сервисного тега, как показано ниже:
