Можно ли использовать IIS DIPR на веб-сайте Azure, настроенном по принципу «точка-сеть»?

В Azure у нас есть следующая инфраструктура:

api-gateway.example.com (frontend API gateway) 
api-1.example.com (microservice API) 
api-2.example.com (microservice API) 
db.example.com (VM running SQL Server)

БД находится в виртуальной сети. Мы подключаемся к нему из API через Point-to-Site VPN с использованием динамического шлюза через его локальный IP-адрес (например, 10.1.1.1).

Теперь мы хотели бы использовать DIPR в API микросервисов, чтобы ограничить общедоступный доступ и разрешить трафик только от шлюза API.

Проблема в том, как узнать внутренний IP-адрес шлюза API? Поскольку на самом деле это не в VNET?

Из чтения - похоже, единственный способ заблокировать веб-сайт Azure от общего доступа / доступа в Интернет - это поместить его в Среда службы приложений Azure (слишком дорого для нас)


networking azure-web-app-service azure-virtual-network azure-app-service-plans
person RPM1984    schedule 17.05.2017    source источник
comment
Похоже, мы не могли использовать шлюз приложений для прямой передачи службы приложений. Как вы говорите, правильный путь - использовать ASE.   -  person Brando Zhang    schedule 19.05.2017

Ответы (1)


arrow_upward
0
arrow_downward

Проблема в том, как узнать внутренний IP-адрес шлюза API.

Насколько я знаю, в настоящее время мы можем получить только публичный IP.

Обычно нам необходимо защитить нашу базу данных SQL в виртуальной сети Azure. Мы можем использовать группу сетевой безопасности, чтобы отклонить трафик к ресурсам подключается к виртуальной сети Azure. Если вы хотите защитить свое локальное приложение API. Мы можем установить аутентификацию. Или установите IP-безопасность в Web.config.

person Jambor - MSFT    schedule 24.05.2017