控制入站流量到Azure的Web应用程序服务

Question

我一直在寻找这几天，终于找到了大部分答案本文档中https://docs.microsoft.com/en-us/azure/app-service-web/app-service-app-service-environment-control-inbound-traffic

它说，你可以使用阻止端口到Web应用程序服务天青一个网络安全组。不过，它说我必须保持一些港口的开放。

例如“454：Azure基础设施用于通过SSL管理和维护App Service环境所需的端口，不要阻止流量通过此端口，该端口始终绑定到ASE的公共VIP。

问题是这个港口需要向全世界开放吗？其中一种选择是向虚拟网络开放（这是什么虚拟网络？）我只希望它向Azure基础设施开放。我怎样才能做到这一点？ ASE的VIP是什么意思？

感谢，

Bestist :)

Answer 1

的问题是，这是否端口需要开放给整个世界？

这取决于您的需求。如果你想让整个世界（互联网）访问你的应用程序，你需要打开它。

这是什么虚拟网络。

Azure虚拟网络（VNet）是您自己的云网络的代表。它是专门用于订阅的Azure云的逻辑隔离。您可以完全控制此网络中的IP地址块，DNS设置，安全策略和路由表。更多信息请参考link。

我只希望它向Azure基础结构开放。我怎样才能做到这一点？

是的，你可以做到。您应该将Azure data center IP ranges添加到NSG。

如果你只想要你的虚拟网络设备来访问你的应用程序服务，您可以NSG配置，例如下面：

什么的ASE的VIP是什么意思？

VIP：VIP是与虚拟机关联的公共IP地址。更多信息请参考link。

ASE：应用程序服务环境。更多信息请参考link。