Ist es möglich, den Zugriff auf eine Azure WebRole auf eine Liste von IP-Bereichen zu beschränken? Ich habe gesehen, dass es eine Reihe von Artikeln gibt, die erklären, wie man die Firewall für den Zugriff auf eine SQL Azure-Instanz konfiguriert, aber was ist mit den WebRoles/WorkerRoles?Windows Azure - Eingrenzen der IP-Adress-Wut für den Zugriff auf eine WebRole
Danke, Luc
Ich habe nicht persönlich diese noch in Azure gemacht, aber haben Sie versucht, mit nur den IIS7 IP-Security-Funktion über the system.webServer/security/ipSecurity configuration element?
Seit V1.3 des SDK (und jetzt V1.4) sind vollständige IIS-Support- und Startup-Aufgaben verfügbar, um dieses Problem zu lösen.
Ich habe dieses gebloggt http://blog.bareweb.eu/2011/04/restricting-access-by-ip-in-azure-web-role-v1-4/
Sie ipsecurity in web.config verwenden können, aber Sie müssen auch einige Arbeit tun, um die IPSec-Modul in IIS in Bezug auf die Installation.
Grüße Andy
Diese Antwort ist jetzt ziemlich veraltet, siehe Henris Antwort unten für eine aktuellere und einfachere Lösung. –
Microsoft stellt das Rezept dieses http://msdn.microsoft.com/en-us/library/windowsazure/jj154098.aspx in diesem Artikel Mai 2012 zu tun.
Sie können einen Windows Azure Webrolle Zugriff auf eine Reihe von bestimmten IP-Adressen beschränken, indem Sie Ihre IIS web.config-Datei ändern und eine Befehlsdatei zu erstellen, die den ipsecurity Abschnitt der Datei ApplicationHost.config aufschließt.
Seit Azure SDK 2.4 eine Möglichkeit hat Access Control List (ACL) zu verwenden IP-Einschränkungen für Ihren Cloud-Service zu übernehmen. Ich schrieb einen Blog-Post auf diesem: http://www.henrihietala.fi/apply-ip-restrictions-for-azure-cloud-service/
Fügen Sie einfach die ACL in Ihrem ServiceConfiguration.Cloud.cscfg:
<?xml version="1.0" encoding="utf-8"?>
<ServiceConfiguration serviceName="MyWebRole.Azure" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceConfiguration" osFamily="4" osVersion="*" schemaVersion="2014-06.2.4">
<Role name="MyWebRole">
...
</Role>
<NetworkConfiguration>
<AccessControls>
<AccessControl name="ipRestrictions">
<Rule action="permit" description="allowed-edu" order="100" remoteSubnet="137.133.228.111/32" />
<Rule action="permit" description="allowed-test" order="101" remoteSubnet="168.61.66.2/32" />
<Rule action="permit" description="allowed-prod" order="102" remoteSubnet="168.61.66.131/32" />
<Rule action="deny" description="Others" order="800" remoteSubnet="0.0.0.0/0" />
</AccessControl>
</AccessControls>
<EndpointAcls>
<EndpointAcl role="MyWebRole" endPoint="Endpoint1" accessControl="ipRestrictions" />
<EndpointAcl role="MyWebRole" endPoint="HttpsIn" accessControl="ipRestrictions" />
</EndpointAcls>
</NetworkConfiguration>
</ServiceConfiguration>
Seien Sie vorsichtig mit Regel-Attribute. Ihre Bereitstellung schlägt fehl, wenn Sie zweimal dieselbe Bestellnummer oder Beschreibung angegeben haben oder die IP-Adresse in remoteSubnet falsch ist.
Haben Sie jemals eine offizielle Dokumentation gefunden? Ich würde gerne wissen, was das erwartete Ergebnis davon ist (dh Status zurückgibt) –
Danke für die schnelle Antwort, Drew. Der Moderator in diesem Post gibt an, dass "ipSecurity derzeit nicht mit Windows Azure funktioniert". http://social.msdn.microsoft.com/Forums/en-US/windowsazure/thread/c197f725-503e-4a44-abce-ea99c741758d/ Und die Verwendung der Konfigurationsdatei wird nicht für mich arbeiten, wie ich will Hinzufügen/Entfernen von IP-Bereichen, ohne das gesamte Paket erneut bereitstellen zu müssen! Dies ist eine Überprüfung, die ausgeführt werden sollte, bevor der Datenverkehr die Anwendung erreicht. Ich kann nicht glauben, dass ein so wichtiges Feature weggelassen wird, da ich keine LOB-Anwendung sehen kann, die den Datenverkehr nicht einschränken möchte! Luc – Azure
Ah, tut mir leid, ich hätte mehr Nachforschungen anstellen müssen, bevor ich es vorschlage. Nun, zumindest ist es aus Gründen der Nachwelt hier und wird hoffentlich Leuten helfen, die sich mit diesem Thema befassen und verstehen, dass es * keine * Option ist. –