Est-il possible de restreindre l'accès à un WebRole Azure à une liste de plages IP? J'ai vu qu'il y a un certain nombre d'articles expliquant comment configurer le pare-feu pour accéder à une instance SQL Azure mais qu'en est-il des WebRoles/WorkerRoles?Windows Azure - restriction de la rage d'adresse IP pour accéder à un WebRole
Merci, Luc
Je ne l'ai pas fait personnellement ce encore dans Azure, mais avez-vous essayé simplement d'utiliser la fonction de sécurité IP IIS7 via the system.webServer/security/ipSecurity configuration element?
Depuis la version 1.3 du SDK (et maintenant la version 1.4), les tâches de support IIS et de démarrage complètes sont disponibles pour aider à résoudre ce problème.
J'ai blogué sur ce http://blog.bareweb.eu/2011/04/restricting-access-by-ip-in-azure-web-role-v1-4/
Vous pouvez utiliser ipsecurity dans web.config, mais vous devez aussi faire des travaux en ce qui concerne l'installation du module IPSec dans IIS.
Cordialement Andy
Cette réponse est assez obsolète maintenant, voir la réponse de Henri ci-dessous pour une solution plus à jour et plus facile. –
Microsoft fournit la recette pour ce faire dans ce mai 2012 article http://msdn.microsoft.com/en-us/library/windowsazure/jj154098.aspx.
Vous pouvez restreindre l'accès des rôles Web Windows Azure à un ensemble d'adresses IP spécifiées en modifiant votre fichier IIS web.config et la création d'un fichier de commandes qui déverrouille la section ipsecurity du fichier ApplicationHost.config.
Depuis Azure SDK 2.4, il y a eu une possibilité d'utiliser Access Control List (ACL) pour appliquer des restrictions IP pour vos services de cloud computing. J'ai écrit un billet de blog sur ce point: http://www.henrihietala.fi/apply-ip-restrictions-for-azure-cloud-service/
Ajoutez juste l'ACL dans votre ServiceConfiguration.Cloud.cscfg:
<?xml version="1.0" encoding="utf-8"?>
<ServiceConfiguration serviceName="MyWebRole.Azure" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceConfiguration" osFamily="4" osVersion="*" schemaVersion="2014-06.2.4">
<Role name="MyWebRole">
...
</Role>
<NetworkConfiguration>
<AccessControls>
<AccessControl name="ipRestrictions">
<Rule action="permit" description="allowed-edu" order="100" remoteSubnet="137.133.228.111/32" />
<Rule action="permit" description="allowed-test" order="101" remoteSubnet="168.61.66.2/32" />
<Rule action="permit" description="allowed-prod" order="102" remoteSubnet="168.61.66.131/32" />
<Rule action="deny" description="Others" order="800" remoteSubnet="0.0.0.0/0" />
</AccessControl>
</AccessControls>
<EndpointAcls>
<EndpointAcl role="MyWebRole" endPoint="Endpoint1" accessControl="ipRestrictions" />
<EndpointAcl role="MyWebRole" endPoint="HttpsIn" accessControl="ipRestrictions" />
</EndpointAcls>
</NetworkConfiguration>
</ServiceConfiguration>
Soyez prudent avec la règle des attributs. Votre déploiement échouera si vous avez spécifié le même numéro de commande ou la même description deux fois ou si l'adresse IP dans remoteSubnet est incorrecte.
Avez-vous déjà trouvé d'autres documents officiels? Je voudrais savoir quel est le résultat attendu (c'est-à-dire que le statut revient) –
Merci pour la réponse rapide, Drew. Le modérateur de ce message indique "ipSecurity ne fonctionne pas sur Windows Azure actuellement." http://social.msdn.microsoft.com/Forums/en-US/windowsazure/thread/c197f725-503e-4a44-abce-ea99c741758d/ Et en utilisant le fichier de configuration ne fonctionnera pas pour moi comme je veux ajouter/supprimer des plages IP sans avoir à redéployer l'ensemble du paquet! Il s'agit d'une vérification qui doit être exécutée avant que le trafic n'atteigne l'application. Je ne peux pas croire qu'une fonctionnalité aussi importante soit laissée de côté car je ne peux pas voir une application métier ne voulant pas restreindre le trafic! Luc – Azure
Ah, désolé j'aurais dû faire plus d'enquête avant de le suggérer. Eh bien, au moins, c'est ici pour la postérité et j'espère aider les gens qui regardent ce sujet à comprendre que c'est * pas * une option. –