Блог

Главная - Вопросы по программированию - Как мне использовать группу сетевой безопасности, чтобы разрешить моему веб-приложению взаимодействовать только с моей веб-службой

Как мне использовать группу сетевой безопасности, чтобы разрешить моему веб-приложению взаимодействовать только с моей веб-службой

#web-services #azure #networking #network-security-groups #app-service-environment

#веб-службы #azure #сеть #network-security-groups #приложение-служба-среда

Вопрос:

У меня есть все необходимые ресурсы. Я поместил свою веб-службу в среду службы приложений, затем подключил NSG к подсети, которую использует среда службы приложений. Затем я разрешил приложениям внутри виртуальной сети взаимодействовать с веб-службой, но это не работает должным образом. Какие именно правила безопасности мне нужны?

Ответ №1:

Вероятно, вместо этого вам нужен ILB ASE, поскольку нет смысла раскрывать среду службы приложений через VIP (общедоступный IP), если все, что вас интересует, — это доступ к нему из вашей виртуальной сети.

Из https://azure.microsoft.com/en-us/documentation/articles/app-service-environment-with-internal-load-balancer/:

ASE можно развернуть с помощью конечной точки, доступной через Интернет, или с IP-адресом в вашей виртуальной сети. Чтобы установить IP-адрес в качестве адреса виртуальной сети, вам необходимо развернуть ASE с помощью внутреннего балансировщика нагрузки (ILB).

Когда ваш ASE настроен с помощью ILB, который вы предоставляете:

  • ваш собственный домен или поддомен. но вы можете настроить его в любом случае.
  • сертификат, используемый для HTTPS
  • Управление DNS для вашего поддомена

В свою очередь, вы можете выполнять такие действия, как:

  • надежно размещайте приложения интрасети, такие как бизнес-приложения, в облаке, доступ к которому осуществляется через VPN «От сайта к сайту» или ExpressRoute VPN
  • размещайте в облаке приложения, которых нет в списке общедоступных DNS-серверов
  • создавайте изолированные от Интернета серверные приложения, с которыми ваши интерфейсные приложения могут безопасно интегрироваться

Ответ №2:

Предполагая, что у вас есть веб-приложение, которое используется в общедоступной сети (Интернет), а веб-сервис находится внутри Azure VM / Service.

Вы должны создать правила для разрешения трафика на ваш веб-сервис, поступающего на определенный порт, который вы используете, например

Имя: разрешить доступ к Интернету Приоритет: любое число ниже вашего значения Все 100 является хорошим примером sourceIP: ИНТЕРНЕТ используйте опцию ТЕГА sourcePort: * destinationIP: ваш веб-сервис IP Порт: ваш веб-сервис Порт или * Протокол: http или https Доступ: Разрешить

Документация: https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg /

Если вы опубликуете, как ваше приложение и конфигурация в настоящее время, возможно, мы сможем увидеть, не хватает ли чего-нибудь.