鉴于我创建了一个Azure“应用服务”
如何确保此服务仅可从...调用
A.> 2个现有外部服务器(其IP地址已知)
B.>我将创建的3个其他应用服务,但其IP地址可能不知道,因为我可能需要扩展它们(超过多个其他实例)
澄清......是否有一些Azure服务允许我将这组机器(真实和虚拟)视为一个组,这样我就可以对传入的请求进行一些测试,看看它们是否来自这个组?
在Azure WebApps上,您可能希望知道; IP限制(https://docs.microsoft.com/en-us/azure/app-service/app-service-ip-restrictions)允许您定义允许访问您的应用程序的IP地址列表。允许列表可以包括单个IP地址或子网掩码定义的一系列IP地址。当从客户端生成对应用程序的请求时,将根据允许列表评估IP地址。如果IP地址不在列表中,则应用程序将回复HTTP 403状态代码。
您可以使用IP和域限制来控制在您的网站中允许或拒绝访问的IP地址集和地址范围。使用Azure WebApps,您可以使用位于其网站中的web.config文件启用/禁用该功能,并自定义其行为。
此外,VNET集成使您的Web应用程序可以访问虚拟网络中的资源,但不允许从虚拟网络访问您的Web应用程序。专用站点访问仅适用于配置了内部负载均衡器(ILB)的ASE。如果您尚未对此进行检查,请检查将您的应用与Azure虚拟网络集成以获取有关VNET集成的更多详细信息(https://docs.microsoft.com/en-us/azure/app-service/web-sites-integrate-with-vnet)
我强烈建议放弃我的IP方法,然后投入OAuth。 Azure AD可让您轻松访问令牌 -
Service to service calls using client credentials (shared secret or certificate)
否则,TLS客户端身份验证将在我的列表中接下来。虽然如果你必须处理几个编程堆栈,TLS卸载程序以及什么不能处理,这往往会非常糟糕。