Nous avons une application Web Azure derrière Azure Application Gateway. La restriction réseau a été activée au niveau de l'application Web (seule la passerelle d'application peut accéder à l'application Web). Le trafic entrant passe par le gestionnaire de trafic, mais pendant la réponse de l'application Web, il communique directement avec des services tiers. Il ne passe pas par la passerelle d'application.
Existe-t-il un moyen de forcer le trafic sortant de l'application Web à passer par une passerelle d'application?
Merci
3 Réponses :
Azure App Services utilise différentes interfaces sortantes et entrantes.
Pour le pare-feu, comme le dit l'article:
Vous ne pouvez pas savoir à l'avance quelle adresse IP une instance d'application donnée utilisera pour établir la connexion sortante, votre service back-end doit donc ouvrir son pare-feu à toutes les adresses IP sortantes de votre application.
https://docs.microsoft.com/en-us/azure/app-service/overview-inbound-outbound-ips
Donc, je ne pense pas que ce soit possible.
Juste pour information, il y a uservoice pour cela, vous pouvez donc ajouter votre cas d'utilisation aux commentaires sur le produit feedback.azure.com/forums/169385-web-apps/suggestions/… {togg le_previous_statuses}
Pouvez-vous expliquer un peu plus «Azure App Services utilise différentes interfaces sortantes et entrantes». Je n'ai trouvé cette déclaration dans aucun document MS. Merci.
@sakaldeep Yadav, veuillez lire l'article par lien que j'ai mis en réponse. Si les adresses IP entrantes et sortantes WebApp sont différentes, cela signifie qu'elle n'utilise pas la même interface réseau pour le trafic entrant et sortant
Existe-t-il une solution à ça? Pas ASE car il a un temps d'échelle très long. Merci
@SakaldeepYadav D'après mon expérience, je ne vois aucune solution pour l'instant. Une fonctionnalité d'intégration de réseau virtuel est en cours. La version actuelle de l'aperçu de la fonctionnalité ne permet pas d'appliquer la table de routage au sous-réseau WebApp pour rediriger le trafic sortant, peut-être sera-t-elle modifiée dans la version GA.
Merci pour cela. De nombreuses entreprises de commerce électronique utilisent l'application Web et je me demande comment elles traitent ce problème. Comment leur application communique avec des services tiers comme le système de paiement en cas de changement d'adresse IP sortante. Le listent-ils manuellement après chaque changement d'adresse IP?
@SakaldeepYadav s'il vous plaît, lisez l'article, il y a un nombre fixe d'adresses IP possibles pour WebApp: docs.microsoft.com/en-us/azure/app-service/… , ces adresses IP ont changé uniquement en cas de mise à l'échelle verticale (changement de niveau de tarification ). D'après mon expérience personnelle, il est très difficile de gérer l'authentification IP dans n'importe quel cloud, vous avez donc besoin d'une méthode d'authentification forte sur n'importe quel service tiers. Dans le pire des cas, vous pouvez déposer une VM et proxifier le trafic sortant nécessaire par programmation.
@SakaldeepYadav Je recommande également de regarder le concept Zero Trust qui est l'approche principale des services cloud: paloaltonetworks.com/cyberpedia / ...
@ Ivan Ignatiev Pouvez-vous s'il vous plaît partager quelques ressources à ce sujet ". Dans le pire des cas, vous pouvez déployer une VM et proxifier le trafic sortant nécessaire par programmation".
J'ai obtenu la solution de contournement pour ce problème à l'aide d'Azure NAT Gateway. Veuillez vous référer au lien ci-dessous pour plus de détails. https://sakaldeep.com.np/1159/azure-nat-gateway-and-web-app-vnet-integration-to-get-static-outbound-ip
Salut Sakaldeep Yadav! Pourriez-vous s'il vous plaît partager des détails sur votre solution. Comment avez-vous défini les UDR? Je n'étais pas au courant de votre question, et je viens de conclure que ce n'est pas possible dans mon propre post stackoverflow.com/questions/64182662/… . J'espère que je n'ai pas raison :)
Depuis la semaine dernière, cela est désormais pris en charge avec la passerelle Azure NAT. https://azure.github.io/AppService/2020/11/15/web-app-nat-gateway.html