Я использую шлюз приложений (WAF) для маршрутизации всего трафика в приложение с функцией прокси (Premium EP1). Приложение-функция, в свою очередь, принимает URL-адреса, подобные приведенным ниже, и направляет их на их правильный веб-API. (Я понимаю, что это функция маршрутизации на основе пути в шлюзе приложений, но мы также выполняем инъекцию заголовка, чтобы предоставить правильный идентификатор клиента).
domain.com/api1 -> api1.azurewebsites.net
domain.com/api2 -> api2.azurewebsites.net
domain.com/api3 -> api3.azurewebsites.net
Это немного упрощено, но показывает суть.
Все 4 службы / функции приложений представляют собой виртуальную сеть, интегрированную в свои собственные подсети, с делегированием serverFarms в каждой и конечными точками службы в Microsoft.Web. Все 4 службы приложений также имеют ограничения доступа, которые разрешают трафик только из подсетей.
Однако по какой-то причине трафик из приложения функции прокси не проходит к веб-API из-за ограничений доступа. Когда я добавляю внешние IP-адреса приложения-функции в белый список служб приложений, трафик разрешается. Мне это кажется неправильным, поскольку я думал, что они будут использовать конечные точки частных служб, которые занесены в белый список через подсеть?
Кто-нибудь знает, ожидаемое ли это поведение?