azure - 如何将Azure Web应用程序(应用程序服务/网站)连接到网络安全组？

Question

我不确定我是否错过了一些简单的事情，或者我是否正在尝试做不可能的事情。

我使用 Web+移动应用服务模型在 Azure 上部署了一个 Tomcat 站点。这不是虚拟机。我希望能够将防火墙规则(网络安全组)应用于此应用服务。

以下是我在资源组中所做的事情:

1. 将我现有的应用服务 (Tomcat) 升级到 S1 计算机大小。
2. 已使用默认设置创建 VNET。这包括创建一个名为“default”的子网。所有地址空间建议均保留在 Azure 默认提示中。
3. 使用应用服务上的网络设置边栏选项卡选择我刚刚创建的 VNET。
4. 创建了网络安全组 - 添加了一条传入规则以拒绝来自任何来源的 HTTP 端口 80。
5. 上面使用默认子网创建的关联 NSG
6. 等待一切传播
7. 测试了在 HTTP 端口 80 上访问应用服务并返回结果。

这不是我希望看到的。为了调试这个，我测试了:

1. 创建 Tomcat 虚拟机
2. 在虚拟机网络 Blade 上，将虚拟机与“默认”子网关联，并专门从虚拟机中删除网络安全组(将其保留在子网上 - 只需确保它没有显式附加到虚拟机)
3. 测试了对虚拟机的 HTTP 访问 - 流量被拒绝
4. 已测试对应用服务的 HTTP 访问 - 仍允许流量
5. 将网络安全组规则更改为允许
6. 已测试对虚拟机的 HTTP 访问以及允许的流量

如何让应用服务像虚拟机一样使用网络安全组？我是否缺少如何在应用服务上配置子网的地方？是否有其他方法将 NSG 与应用服务关联？

我没有预算/不需要构建 ASE。我所需要做的就是在我的应用服务前面放置一个防火墙，以阻止我不希望看到使用的端口。

谢谢。

Answer 1

你正在尝试做不可能的事情。请记住，应用服务中的 Web 应用必须通过 VPN 连接到 VNET，在互联网和 Multi-Tenancy 应用服务中的 80/TCP、443/TCP 之间没有任何东西。可以控制。

Client ---> 80/TCP Frontend layer ---> 80/TCP Web App ---> Point-to-site VPN ---> VNET ---> NSG_associated_with_subnet

所以，不去。

看看是否 <ipSecurity> 适用于您的用例(我的其他答案在这里提供了一个快速示例 - https://stackoverflow.com/a/38808091/4148708 )。否则，您需要应用服务环境 (ASE) 或内部负载均衡器应用服务环境 (ILB ASE)。

它们都直接位于 VNET 中的子网中，因此您可以使用 NSG 控制流量。