我有一个 Azure Web 应用程序,需要通过合作网络在内部进行访问。 Web 应用程序不应公开访问。为了实现这一目标,我确实尝试使用访问限制,如果我将 IP 地址添加到允许列表中,然后添加并允许 Web 应用程序入站地址通过 VPN,该访问限制就会起作用。除了访问限制之外,是否有任何方法可以实现相同的功能,以便内部用户不会访问公共 IP 地址并通过私有端点进行内部路由?
-拉杰什
网络应用程序不应公开访问。为了实现这一目标,我确实尝试使用有效的访问限制。
使用专用端点,您可以安全地连接到网络应用程序。
创建了具有私有端点的应用程序服务,如下所示。
使用堡垒主机创建虚拟网络:
使用相同的 vnet 创建没有公共 IP 地址的虚拟机来访问堡垒中的应用程序服务,如下所示:
专用终结点使用 Azure 虚拟网络地址空间中的 IP 地址。为了防止暴露在公共 Internet 上,专用网络上的客户端与应用程序之间的网络流量通过虚拟网络和 Microsoft 主干网络上的专用链接进行传输。要测试专用端点的连接性,请在堡垒中使用
nslookup webapp-.azurewebsites.net
。
现在,可以通过私有端点访问应用程序服务,如下所示:
通过这种方式,您可以从 Azure 进行私下连接,也可以从本地进行连接(如果 Azure 和本地之间有 S2S VPN 或 ExR 连接),禁用公共网络访问以消除公开暴露,确保 DNS 配置到位。
参考文献: