我们正在 Azure 中设计一个多位置部署,要求将用户发送到最近的源。目前我们正在使用流量管理器,但这给我们客户端基础设施中的另一层带来了一些问题。
我们正在研究的另一个选项是 Front Door,但这带来了新的挑战 - 我们如何防止我们的起源被公开?
对于流量管理器,Microsoft 发布了一个探测 IP 列表,我们可以在 Web 应用程序中将其列入白名单:https://learn.microsoft.com/en-us/azure/traffic-manager/traffic-manager-faqs#what-are-the-ip-addresses-from-which-the-health-checks-originate
前门是否提供类似的服务?理想的结果是一组 IP 地址(ala https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json ),我们可以将其导入到我们的 Web 应用程序防火墙中。
最佳答案
您可以通过将 Anycast 列入白名单来锁定对您来源的访问Azure FrontDoor 服务使用的 IP 地址范围:
IPv4 - 147.243.0.0/16
IPv6 - 2a01:111:2050::/44
来源:How do I lock down the access to my backend to only Azure Front Door Service?
关于用于在 WebApp 中列入白名单的 Azure 前门探测 ip,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54004370/