使用管道对函数应用程序进行访问限制的Azure IP范围白名单

Question

我们有使用ARM模板部署的Azure函数应用程序，它还包括在提供函数应用程序时应用的Access Restriction。由于SaaS功能依赖性，我们希望将IP范围(Azure数据中心IP范围)设置为白名单。

从following link我们可以得到json格式的IP范围，它每周(星期一)更新一次。我们需要从这个文件中自动生成IP白名单，因为正在使用azure管道。

尝试编写power shell脚本时，下载页面和实际下载URL不同(URL会定期更改)。

由于limitation of Azure on Function应用程序入站流量，因此可以使用App、安全组。

有没有处理上述机制的标准方法？

Answer 1

在这种情况下保护函数的另一种方法是在函数前面放置一个像Azure API Management这样的网关。

该函数将只接受来自APIM实例的IP的请求，并且传入APIM的请求可以由任一授权

• Subscription Key (可以在报头中，也可以作为查询parameter)
• Client Certificate
• OAuth 2.0 (需要一个validate-jwt策略来验证传递的JWT )