Azure应用服务部署返回(403)禁止使用IP限制

7y4bm7vi  于 2023-01-14  发布在  其他
关注(0)|答案(6)|浏览(202)

在Azure中,我为以下项打开了IP限制:

  • Web应用程序(网络〉访问限制)
  • SQL Server(防火墙和虚拟网络〉添加客户端IP)
  • SQL数据库(设置服务器设置)

该解决方案仍然在本地和DevOps(又名Team Foundation Server)中构建。
但是,Azure应用服务部署现在失败:

##[error]Failed to deploy App Service.
##[error]Error Code: ERROR_COULD_NOT_CONNECT_TO_REMOTESVC
More Information: Could not connect to the remote computer 
("MYSITENAME.scm.azurewebsites.net") using the specified process ("Web Management Service") because the server did not respond. Make sure that the process ("Web Management Service") is started on the remote computer.
Error: The remote server returned an error: (403) Forbidden.
Error count: 1.

如何通过防火墙部署?
我是否需要虚拟网络来将Azure资源隐藏在我的白名单IP后面?

h22fl7wq

h22fl7wq1#

REST站点scm.azurewebsites.net必须有Allow All,即没有限制,并且Same restrictions as ***.azurewebsites.net必须是unchecked
它不需要额外的限制,因为URL访问已经需要Microsoft凭据。如果添加限制,部署将使防火墙失败,因此我遇到了许多并发症。

ztigrdn8

ztigrdn82#

我认为答案是不正确的,因为你可能会面临数据外泄,这就是为什么微软提供了锁定SCM门户(Kudu控制台)的功能。Kudu门户上还有一个安全问题,因为它可以显示您的keyvault的秘密(如果您使用keyvault),您不希望您的组织中的人访问Kudu门户。
您必须按照此链接https://learn.microsoft.com/en-us/azure/devops/organizations/security/allow-list-ip-url?view=azure-devops
它将为您提供您需要在SCM访问限制上允许的Azure DevOPS IP范围。
更新:使其按预期工作并使用应用程序服务访问限制(对于Azure功能也是如此),您需要使用服务标签"AzureCloud",而不是Azure DevOPS IP范围,因为这还不够。在Azure Pipeline日志中,您可以看到IP被阻止,因此您可以看到它位于服务标签JSON文件It中的服务标签"AzureCloud"内。MS Doc上并不十分清楚,但原因是他们很难为Azure DevOPS Pipeline定义适当的IP范围,因此他们使用来自AzureCloud服务标签的IP。https://www.microsoft.com/en-us/download/details.aspx?id=56519

mklgxw1f

mklgxw1f3#

在我的情况下,我使用Azure DevOps部署,并得到了错误。它原来是我的API部署到的应用服务,有复选框“与www.example.com相同的限制xxxx.azurewebsites.net“,在访问限制或IP限制下。您需要允许scm.azurewebsites.net。

yacmzcpb

yacmzcpb4#

尝试将值为false的应用程序设置WEBSITE_WEBDEPLOY_USE_SCM添加到你的Azure应用服务。这能够解决我部署到私有终结点时遇到的问题。

bqjvbblv

bqjvbblv5#

就我而言,这是因为超过了每天的配额。
因此,这种情况下的解决方案是等待或支付更多(扩展)应用程序服务

w1jd8yoj

w1jd8yoj6#

在我的情况下,这是因为使用了错误的代理(Windows主机),而我应该使用自托管内部代理...因此我需要在以下位置更改它

相关问题