我希望将对我的某个应用服务的访问权限限制为Azure API管理。为了独立于单个IP,我使用基于服务标记的限制创建了以下设置:
但是,如果我使用Developer Portal测试我的API,我仍然会收到403消息。如果我现在添加一个限制规则,以允许API管理的IP地址,它将工作。文档声称服务标签正在将所提供的Azure服务的IP范围添加到限制中。这正是我想要实现的,但似乎行不通。
403
lymnna711#
在我联系了微软支持部门之后,我知道可以告诉你这个问题的答案。答案的核心信息是遗憾的是,没有针对所有API管理出站IP地址的标记。支持人员强调,服务标签的文档指出这使客户能够对API管理服务上配置的API、操作、策略和命名值执行管理操作。这意味着服务标签仅用于后端操作。问题是它对您没有任何帮助。我已经注意到,在我打开服务标签规则后,我无法使用直接OpenAPI端点通过门户更新API,这是记录的方式。这是因为针对OpenAPI的探索性请求将使用本地浏览器作为XHR请求执行。这意味着我将不得不添加我的本地IP到限制列表的每一次。支持者建议把所有东西都放在一个VNET中,并使用这种技术配置访问。我有这个解决方案,然后认为它太笨拙了。我想我现在必须这样做。
h22fl7wq2#
谢谢你指出这一点。使用VNet的支持建议似乎有点过头了,因为VNet只有从昂贵的高级APIM开始才可用。然而,还有其他的解决方案。
2条答案
按热度按时间lymnna711#
在我联系了微软支持部门之后,我知道可以告诉你这个问题的答案。
答案的核心信息是
遗憾的是,没有针对所有API管理出站IP地址的标记。
支持人员强调,服务标签的文档指出
这使客户能够对API管理服务上配置的API、操作、策略和命名值执行管理操作。
这意味着服务标签仅用于后端操作。问题是它对您没有任何帮助。我已经注意到,在我打开服务标签规则后,我无法使用直接OpenAPI端点通过门户更新API,这是记录的方式。这是因为针对OpenAPI的探索性请求将使用本地浏览器作为XHR请求执行。这意味着我将不得不添加我的本地IP到限制列表的每一次。
支持者建议把所有东西都放在一个VNET中,并使用这种技术配置访问。我有这个解决方案,然后认为它太笨拙了。我想我现在必须这样做。
h22fl7wq2#
谢谢你指出这一点。使用VNet的支持建议似乎有点过头了,因为VNet只有从昂贵的高级APIM开始才可用。然而,还有其他的解决方案。