Nous concevons un déploiement multi-emplacement dans Azure qui nécessite que les utilisateurs soient envoyés à leur origine la plus proche. Pour le moment, nous utilisons un gestionnaire de trafic, mais cela nous pose des problèmes avec une autre couche de l'infrastructure du client.
Une autre option que nous étudions est Front Door, mais qui introduit un nouveau défi - comment pouvons-nous empêcher que nos origines soient accessibles au public?
Pour le gestionnaire de trafic, Microsoft publie une liste d'adresses IP de sonde que nous pouvons mettre sur liste blanche dans nos applications Web: https://docs.microsoft.com/en-us/azure/traffic- manager / traffic-manager-faqs # quelles-sont-les-adresses-IP-d'où-proviennent-les-contrôles-de-santé
Est-ce que la porte d'entrée offre une chose similaire? Le résultat idéal serait un ensemble d'adresses IP (ala https://azuretrafficmanagerdata.blob.core.windows.net/probes/azure/probe-ip-ranges.json ) que nous pourrions importer dans nos pare-feu webapps.
3 Réponses :
Azure Front Door Service fournit une accélération dynamique de site Web (DSA), y compris un équilibrage de charge HTTP global. Le service Front Door est un mélange de réseaux ADC et CDN. Lorsque vous effectuez une sonde d'intégrité, les environnements Front Door enverront une sonde, ceci DOC indique qu'il existe environ 90 environnements Front Door ou POP dans le monde. Il semble que le document ne puisse pas décrire quelle adresse IP de sonde spécifique se trouve dans les environnements Front Door. Vous pouvez consulter ce problème sur Github.
Actuellement, le service Front Door est l'aperçu public, la publication peut prendre du temps. De plus, il n'est pas recommandé de l'utiliser dans l'environnement de production.
Je pense que nous pourrions sauter un peu le pistolet si nous visons cela dans notre configuration de prod. Cela résout quelques-uns des problèmes que nous avons, mais il est peut-être un peu trop tôt pour être pris en compte. Un à surveiller!
Vous pouvez également donner votre avis sur le service ici pour améliorer les fonctionnalités d'Azure .
Vous pouvez verrouiller l'accès à vos origines en ajoutant à la liste blanche les plages d'adresses IP Anycast utilisées par Service Azure FrontDoor:
IPv4 - 147.243.0.0/16
IPv6 - 2a01: 111: 2050 :: / 44
Source: Comment verrouiller l'accès à mon backend uniquement au service Azure Front Door?
Cette solution peut toutefois être interrompue, car les adresses IP de la porte d'entrée sont sujettes à des modifications
Vous pouvez désormais utiliser les balises de service Azure Front Door pour gérer le scénario de restriction du trafic vers votre backend vers AFD uniquement. Présentation des balises de service :
Une balise de service représente un groupe de préfixes d'adresses IP d'un service Azure donné. Microsoft gère les préfixes d'adresse englobés par le numéro de service et met automatiquement à jour le numéro de service à mesure que les adresses changent.
Les balises de service pour AFD sont également disponibles dans le document ci-dessus. Pour restreindre l'accès de la manière décrite, vous pouvez utiliser la balise de service AzureFrontDoor.Backend.
En supposant que votre backend puisse le prendre en charge, vous pouvez également ajouter un filtre supplémentaire qui garantit que le trafic frappant votre backend provient non seulement de la plage IP de l'AFD, mais aussi de votre AFD! Voir ce document :
... limitez le trafic sur votre backend à la valeur spécifique de l'en-tête 'X-Azure-FDID' envoyé par Front Door
L'ID de votre AFD peut être récupéré des manières suivantes:
Effectuez une opération GET sur votre porte d'entrée avec la version API 2020-01-01 ou supérieure. Dans l'appel d'API, recherchez le champ frontdoorID. Filtrez sur l'en-tête entrant 'X-Azure-FDID' envoyé par Front Door à votre backend avec la valeur comme celle du champ frontdoorID. Vous pouvez également trouver la valeur de l'ID de la porte d'entrée dans la section Vue d'ensemble de la page du portail de la porte d'entrée.