Azure应用服务自动扩展-处理新的出站IP

Question

我想知道人们如何处理Azure Web应用程序配置了自动缩放的情况，该自动缩放依赖于配置了IP白名单的服务。

例如，假设我有一个网站(Web A)和另一个提供API的App Service (App B)。我想在App B上设置防火墙规则，以便Web A只能使用IP白名单访问它。

在此场景中，如果Web A满足弹性伸缩规则，则新伸缩的实例可能会有不同的出站IP (根据我对文档的理解，至少有可能收到不同的出站IP )。如何确保App B包含此新的出站IP？

在此场景中，我们已经有了用户名/密码身份验证，但作为额外的安全层，我还想配置IP白名单。

Answer 1

如果Web A满足自动伸缩规则，则新伸缩的实例有可能具有不同的出站IP ...

不是的。所有扩展操作都在缩放单位(stamp)内进行，这意味着所有实例的出站IP地址都相同。

使用OAuth 2.0 client credential grant (访问令牌)或X509客户端证书保护您的服务到服务调用。IP地址方式不是一种限制访问的云方式，您应该将IP地址视为云中的短暂地址，并在OSI模型中的更高层处理访问。

Answer 2

我也有同样的问题，最近在文档中找到了这个：

​

链接到microsoft docs

因此，简而言之:如果您向外扩展，它应该是可行的；如果您在应用程序服务计划层之间向上扩展，则出站ip地址将发生变化

Answer 3

您在这里所描述的就是该服务的工作原理。

没有办法确切地说出请求将从哪个IP发送到您的API。web应用程序可能会在没有任何进一步通知的情况下将应用程序转移到不同的实例，因此请求将从那里发出。

但是，还有其他方法可以保护您的API。

我建议您考虑在您的应用程序接口前面添加AzureAD授权，并要求所有请求在与您的应用程序接口交互之前都必须经过授权。

例如，请参阅how to

• Call a web API with the signed-in user's permissions，or
• Call a web API with the application's permissions