我想在Azure Web App上部署3層應用程序。適用於Web應用程序的安全環境Azure
我希望API處於私有子網.IN其他詞我只希望在第1步中部署WebApp以訪問此API,它將再次部署在Azure WebApp中。 如何做到這一點?
如果我理解您的拓撲正確的,這是你希望實現的方案:
[前端] - > [API] - > [數據庫]
前端應當可以公開訪問。 API應該只能通過vnet訪問 數據庫應該只能被API應用訪問。
根據您的安全容差,有兩種方法可以實現此目的。
1)更多安全
部署你的API到Internal Load Balanced App Service Environment。通過這樣做你的API應用程序只能從vnet訪問。然後,您需要部署Web應用程序,啓用vNET Integration feature,以便2個應用程序可以相互交談。
2)安全性較低的 同時部署您的API應用程序和Web應用程序到正規的應用程序服務計劃,使互聯星空集成功能,然後在API應用configure ip restrictions,允許在你的web應用程序將使用的IP地址的流量。您可以創建應用程序的性能下,找到這個:
在這種情況下,你的API仍然在技術上有一個公共端點,但在這交通將受到限制/阻止你的IP限制規則。
嗨拜倫,謝謝你的答案。這是我想實現的,但不想使用ASE,而是想阻止所有流量的API。爲此,我創建了一個用戶定義的路線,並添加了一條規則,但仍然是API是公開的。此外,由於某些原因,我們無法將NSG附加到webApp。有沒有辦法阻止API的流量?再次,Web App和API都在同一個Vnet中,並且連接到相同的網關子網。 – Sonam
沒有應用程序服務環境,第二個選項「不太安全」是最好的。 –
您是否引用了[網絡安全組](https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-nsg)? –
是的!我們不能將NSG與網關子網相關聯。 – Sonam