MS Azure应用服务出站IP地址多久可以更改一次?
Pet*_*rke 6 ip whitelist azure outbound azure-web-app-service
我正在使用Azure App Services调用外部API,该API使用白名单IP地址进行深度防御保护.
我知道我可以在WebApp - >设置 - >属性 - >出站IP地址(显示4个逗号分隔的IP地址的列表)下找到我的应用服务的出站IP地址,该地址可以提供给外部API白名单.据我所知,Microsoft发布了一个定期更新的Azure数据中心IP地址列表,用于我可以列入白名单的出站流量:https://www.microsoft.com/en-us/download/details.aspx? id = 41653
问题是外部API只能处理多个IP地址,而不能处理Azure数据中心IP的完整列表.仅提供4个逗号分隔的IP地址是否安全?有关IP地址动态更改频率或时间的明确Microsoft文档吗?
我试图寻找答案,发现两个外部网站建议它只在移动Azure区域时改变[参考文献2]或者如果你向上/向下扩展(但是缩小/缩小显然很好)[参考文献1].这是正确的信息吗?
在我的情况下,Azure应用服务环境是唯一可行的替代方案吗?
在这个聚会上晚了,但是只是为了充实一下:
除非您使用应用程序服务环境(ASE),否则您不能保证入站或出站IP都会更改,但是入站和出站IP地址之间会有一些差异。
入站IP何时更改?
在以下情况下,入站IP将发生变化:
- 删除一个应用程序,然后在其他资源组中重新创建它。
- 删除资源组和区域组合中的最后一个应用,然后重新创建。
- 删除现有的SSL绑定,例如在证书更新期间
但是,这可以通过为入站连接获取静态IP来配置基于IP的SSL绑定来解决-如果您不使用任何SSL功能,甚至可以使用自签名证书。
出站IP地址
这是您坐在那里的地方,它的空间更加不稳定,这直接来自文档:
当您在较低层(基本,标准和高级)和Premium V2层之间扩展应用程序时,应用程序的出站IP地址集会更改。
简而言之,如果您永远不会放大或缩小,那么您应该会很好。
编辑:重新阅读以上内容,并进行一些测试,这似乎意味着IP不会改变,除非您从较低的层级直升到Premium V2层(反之亦然)。粗略的测试支持此操作:
在F1免费套餐下运行并扩展到P1v2,为我提供了以下IP地址:
向下扩展到任何较低的层都将IP地址还原为与F1层相同的地址。
可能的补救措施
一个非常特定于解决方案的示例,但在某种情况下会有所帮助-在此之前我已解决此问题的方法是监视Web应用程序的出站IP地址,如果它发现更改,则可以将这些IP地址发送到白名单以通过API调用进行更新-但这也可能导致高优先级票证被抬高。
我应该指出,我们可以这样做,因为这不会因为一点点中断而终结世界,并且我们不希望经常扩大和缩小规模。
如前所述,否则,“应用程序服务环境”是您唯一的选择。
参考文献
除了上述有关更改的资源之外,另一件事是可能会添加额外的 IP,以适应出站 n/w 呼叫的额外容量。需要注意的具体评论是“通过最近的升级,网站服务为每个规模单位分配了一组稳定的出站 IP 地址。我们将继续监控网络利用率,并且可能会添加(但不会删除)其他 IP 地址。 ” 通过斯特凡_MS
| 归档时间: |
|
| 查看次数: |
2969 次 |
| 最近记录: |