単純なものが欠けているのか、それとも不可能なことをしようとしているのかわからない.
Web+Mobile App Services モデルを使用して、Tomcat サイトを Azure にデプロイしています。これは VM ではありません。この App Service にファイアウォール ルール (ネットワーク セキュリティ グループ) を適用できるようにしたいと考えています。
リソースグループ内で行ったことは次のとおりです。
- 既存の App Service (Tomcat) を S1 マシン サイズにアップグレードしました。
- デフォルト設定で VNET を作成しました。これには、「default」という名前のサブネットの作成が含まれていました。すべてのアドレス空間の提案は、Azure の既定のプロンプトに残されました。
- App Service の [ネットワーク設定] ブレードを使用して、作成したばかりの VNET を選択しました。
- ネットワーク セキュリティ グループを作成 - あらゆるソースからの HTTP ポート 80 を拒否する受信ルールを追加しました。
- 上記で作成した関連付けられた NSG と既定のサブネット
- すべてが伝播するのを待っていた
- HTTP ポート 80 で App Service にヒットすることをテストし、結果が返されました。
これは私が見たいと思っていたものではありませんでした。これをデバッグするために、私はテストしました:
- Tomcat 仮想マシンの作成
- VM ネットワーク ブレードで、VM を "既定の" サブネットに関連付け、具体的にはネットワーク セキュリティ グループを VM から削除しました (サブネット上に残します - VM に明示的に接続されていないことを確認するだけです)。
- VM への HTTP アクセスのテスト - トラフィックは拒否されました
- App Service へのテスト済みの HTTP アクセス - トラフィックは引き続き許可されます
- 許可するようにネットワーク セキュリティ グループ ルールを変更しました
- VM へのテスト済みの HTTP アクセスと許可されたトラフィック
仮想マシンと同じように、App Service でネットワーク セキュリティ グループを使用するにはどうすればよいですか? App Service でサブネットを構成する方法がどこかにありませんか? NSG を App Service に関連付ける別の方法はありますか?
予算がない/ASE を構築する必要がない。必要なのは、App Service の前にファイアウォールを配置して、使用されたくないポートをブロックすることだけです。
ありがとう。