我有这样的设置
- 在 IIS 中的 VM 中托管有一个网站。
- 前面有一个 Azure 应用程序网关,可将流量重定向到 VM 中托管的网站。
- 应用程序网关有 NSG、VNet 和子网。
要求是限制从互联网访问站点,同时仅允许内部网访问?
使用的是哪个版本的应用程序网关(如果是 V1(,请将应用程序网关附加到专用 VNET-->子网,并且仅将专用 IP 附加到网关。如果是 V2,只需删除公共 IP 侦听器。
应用程序网关是反向代理。如果将 VM 的专用 IP 添加为应用程序网关的后端池,则应用程序网关将使用其实例 IP 将 http 请求转发到 VM。
因此,可以将 NSG 添加到 VM 的子网,以仅允许应用程序网关子网 IP 范围,并拒绝端口 80,443 上的 Internet 流量。
它适用于 V1 和 V2 SKU。