Share via

Effectuer des tests derrière un pare-feu

  • Article

Pour veiller à la disponibilité de points de terminaison derrière des pare-feux, activez des tests de disponibilité publics ou exécutez des tests de disponibilité dans des scénarios d’entrée déconnectés ou non.

Activation du test de disponibilité public

Vérifiez que votre site web interne dispose d’un enregistrement DNS (Domain Name System) public. Les tests de disponibilité échouent si vous ne pouvez pas résoudre le DNS. Pour plus d’informations, consultez Création d’un nom de domaine personnalisé pour une application interne.

Avertissement

Les adresses IP utilisées par le service des tests de disponibilité sont partagées et peuvent exposer les points de terminaison de service protégés par votre pare-feu aux autres tests. Le filtrage d’adresse IP seul ne peut pas sécuriser le trafic de votre service. Il est donc recommandé d’ajouter des en-têtes personnalisés supplémentaires pour vérifier l’origine de la requête web. Pour plus d’informations, consultez Étiquettes de service du réseau virtuel.

Authentifier le trafic

Définissez des en-têtes personnalisés dans des tests de disponibilité standard pour valider le trafic.

  1. Générez un jeton ou un GUID pour identifier le trafic dans vos tests de disponibilité.

  2. Ajoutez l’en-tête personnalisé « X-Customer-InstanceId » avec la valeur ApplicationInsightsAvailability:<GUID generated in step 1> sous la section « Informations de test standard » lorsque vous créez ou mettez à jour vos tests de disponibilité.

  3. Veillez à ce que votre service vérifie si le trafic entrant inclut l’en-tête et la valeur définie lors des étapes précédentes.

    Capture d’écran montrant un en-tête de validation personnalisé.

Vous pouvez également définir le jeton en tant que paramètre de requête. Par exemple : https://yourtestendpoint/?x-customer-instanceid=applicationinsightsavailability:<your guid>.

Configurer votre pare-feu pour autoriser les requêtes entrantes à partir des tests de disponibilité

Remarque

Cet exemple est spécifique à une utilisation d’étiquette de service de groupe de sécurité réseau. Plusieurs services Azure acceptent les étiquettes de service, chacune nécessitant différentes étapes de configuration.

  • Pour simplifier l’activation de services Azure sans autoriser des IP individuels ou maintenir une liste des IP à jour, utilisez des Étiquettes de service. Appliquez ces étiquettes dans Pare-feu Azure et des groupes de sécurité réseau, ce qui permet l’accès du service de test de disponibilité à vos points de terminaison. L’étiquette de service applique ApplicationInsightsAvailability à tous les tests de disponibilité.

    1. Si vous utilisez des groupes de sécurité réseau Azure, accédez à votre ressource de type groupe de sécurité réseau et sélectionnez Règles de sécurité du trafic entrant sous Paramètres. Sélectionnez ensuite Ajouter.

      Capture d’écran de l’onglet Règles de sécurité du trafic entrant dans la ressource de type groupe de sécurité réseau.

    2. Ensuite, sélectionnez Étiquette de service comme source et ApplicationInsightsAvailability comme étiquette de service source. Utilisez les ports ouverts 80 (http) et 443 (https) pour le trafic entrant à partir de l’étiquette de service.

      Capture d’écran de l’onglet Ajouter des règles de sécurité du trafic entrant avec une étiquette de service en source.

  • Pour gérer l’accès lorsque vos points de terminaison sont en dehors d’Azure ou lorsque les étiquettes de service ne sont pas une option, établissez une liste d’autorisation des adresses IP de nos agents de test web. Vous pouvez interroger des plages d’adresses IP en utilisant PowerShell, Azure CLI ou un appel REST avec l’API Étiquette de service. Pour obtenir une liste complète des étiquettes de service actuelles et de leur détails sur l’IP, téléchargez le fichier JSON.

    1. Dans votre ressource de type groupe de sécurité réseau, sélectionnez Règles de sécurité du trafic entrant sous Paramètres. Sélectionnez ensuite Ajouter.

    2. Ensuite, sélectionnez Adresses IP comme source. Ajoutez alors vos adresses IP dans une liste séparée par des virgules dans les plages d’adresses IP source/CIDR.

      Capture d’écran de l’onglet Ajouter des règles de sécurité du trafic entrant avec des adresses IP en source.

Scénarios déconnectés ou sans entrée

  1. Connectez votre ressource Application Insights à votre point de terminaison de service interne en utilisant Azure Private Link.
  2. Écrivez du code personnalisé pour tester régulièrement votre serveur ou vos points de terminaison internes. Envoyez les résultats à Application Insights en utilisant l’API TrackAvailability() dans le package principal du Kit de développement logiciel (SDK).

Dépannage

Pour plus d’informations, consultez l’article de dépannage.

Étapes suivantes