Table of contents
Open Table of contents
Fehler: RestrictedIP
Azure Front Door, die CDN Lösung von Microsoft, ermöglicht die Auslieferung an Inhalten über die ganze Welt. Dazu gehört die Konfiguration von “Origin” bzw. “Origin Group”. Im wesentlichen ist das die Konfiguration des Backends woher die Daten zur Auslieferung kommen.
Dabei kann es vorkommen, dass nach erfolgter Konfiguration die Fehlermeldung RestrictedIP in den Logs auftaucht.
Grund des Fehlers
Die offizielle Dokumentation von Microsoft ist für mich nicht aussagekräftig.
RestrictedIP: The request was blocked because of restricted IP address.
Der Grund warum es mir passiert ist, weil ich eine private IP Adresse eingetragen habe, aber Azure Front Door hat keine vNet Integration, daher kann Azure Front Door (auch wenn die Netze der Spokes mit dem Hub gepeered sind) nicht zu einer privaten IP Adresse kommunizieren.
Richtige Konfiguration der Origins
Im wesentlichen gibt es zwei Möglichkeiten Origins richtig zu konfigurieren
Bevorzugte Variante: Private Link Origin
Die beste Variante (vorallem aus Sicherheitssicht) ist die Konfiguration mittels Private Link. Eine detaillierte Beschreibung gibt es in der Microsoft Doku. Das funktioniert aktuell mit folgenden Services:
- Internal Load Balancer
- Storage Account
- Storage Static Website
- App Service
- Application Gateway
- API Management
- Container App
Zweite Variante: Public Origin
Es gibt natürlich auch die Möglichkeit Origins zu konfigurieren, die über eine public IP erreichbar sind.
Aus Security/Architektur-Sicht nicht optimal, da hier der Endpoint (z.B. von einem Storage Account) exposed wird obwohl dieser ja eigentlich nur über Azure Front Door aufrufbar sein soll (davon würde ich zumindestens ausgehen).
Aber wenn es ein Service ist mit dem kein Private Link möglich ist oder aus anderen Gründen ist das durchaus noch ein Weg der Implementierung. Den Public Endpoint des Backend (Origins) kann man in der Regel noch zusätzlich absichern, beispielsweise mit Network Security Group.
Es ist möglich hier auf AzureFrontDoor.Backend beim Service Tag einzuschränken. Das schränkt zumindestens soweit ein, dass nur Front Door auf den public Endpoint des Origins zugreifen kann.