如何將Azure Web應用程序（應用程序服務/網站）連接到Network Security Group？

Question

我不確定我是否缺少一些簡單的東西，或者如果我想要做不可能的事情。

我有一個使用Web +移動應用程序服務模型部署在Azure上的Tomcat站點。這不是虛擬機。我希望能夠將防火牆規則（網絡安全組）應用於此App Service。

這裏是我有我的資源組中完成：

1. 把我現有的應用程序服務（Tomcat）的，並將其升級到S1整機尺寸。
2. 用默認設置創建一個VNET。這包括創建一個名爲「default」的子網。所有地址空間建議均保留在Azure默認提示下。
3. 使用App Service上的網絡設置刀片來選擇剛剛創建的VNET。
4. 創建網絡安全組 - 添加傳入規則以拒絕來自任何源的HTTP端口80。
5. 相關NSG與等了一切默認的子網
6. 上面創建到傳播完成
7. 測試擊中HTTP端口80上的應用程序服務，並得到返回結果。

這不是我希望看到的。爲了調試這個我測試：

1. 創建一個Tomcat虛擬機
2. 在VM網絡刀片，相關的VM的「默認」的子網，專門去除從虛擬機的網絡安全集團（在離開它子網 - 只是確保它沒有明確地連接到虛擬機）
3. 測試到虛擬機的HTTP訪問 - 交通拒絕
4. 到App服務測試HTTP訪問 - 流量仍然允許
5. 更改了網絡安全組規則允許
個
6. 到虛擬機和流量測試HTTP訪問許可

我如何讓應用程序服務使用網絡安全組虛擬機的方式做？我在某處如何配置App Service上的子網？是否有另一種方法將NSG與App Service相關聯？

我沒有預算/需要構建ASE。我需要做的就是在我的應用服務前放置一個防火牆，以阻止我不想看到使用的端口。

感謝。

Answer 1

你正在努力做到不可能。請記住，應用程序服務中的Web應用程序必須VPN進入VNET，因此您可以控制在多租戶應用程序服務中的互聯網和80/TCP,443/TCP之間沒有任何東西。

Client ---> 80/TCP Frontend layer ---> 80/TCP Web App ---> Point-to-site VPN ---> VNET ---> NSG_associated_with_subnet

所以沒有去。

查看<ipSecurity>是否適合您的用例（我的其他答案提供了一個快速示例 - https://stackoverflow.com/a/38808091/4148708）。否則，您需要應用程序服務環境（ASE）或內部負載平衡器應用程序服務環境（ILB ASE）。

它們都直接坐在VNET的子網中，所以你可以控制NSG的流量。