Тестирование за брандмауэром

Чтобы обеспечить доступность конечных точек за брандмауэрами, включите открытые тесты доступности или запустите тесты доступности в отключенном режиме или нет сценариев входящего трафика.

Включение теста общедоступной доступности

Убедитесь, что внутренний веб-сайт содержит запись общедоступной системы доменных имен (DNS). Тесты доступности завершаются ошибкой, если не удается разрешить DNS. Дополнительные сведения см. в статье "Создание личного доменного имени для внутреннего приложения".

Предупреждение

IP-адреса, используемые службой тестов доступности, являются общими и могут предоставлять конечные точки службы, защищенные брандмауэром, другим тестам. Фильтрация IP-адресов не защищает трафик вашей службы, поэтому рекомендуется добавить дополнительные пользовательские заголовки для проверки происхождения веб-запроса. Дополнительные сведения см. в разделе тегов службы виртуальной сети.

Проверка подлинности трафика

Задайте пользовательские заголовки в стандартных тестах доступности для проверки трафика.

1. Создайте маркер или GUID для идентификации трафика из тестов доступности.

2. Добавьте пользовательский заголовок X-Customer-InstanceId со значением ApplicationInsightsAvailability:<GUID generated in step 1> в разделе "Стандартные сведения о тестировании" при создании или обновлении тестов доступности.

3. Убедитесь, что служба проверка, если входящий трафик включает заголовок и значение, определенное на предыдущих шагах.

   

Кроме того, задайте маркер в качестве параметра запроса. Например, https://yourtestendpoint/?x-customer-instanceid=applicationinsightsavailability:<your guid>.

Настройка брандмауэра для разрешения входящих запросов из тестов доступности

Примечание.

Этот пример предназначен для использования тега службы группы безопасности сети. Многие службы Azure принимают теги служб, каждый из которых требует различных действий по настройке.

• Чтобы упростить включение служб Azure без авторизации отдельных IP-адресов или поддержания актуального списка IP-адресов, используйте теги служб. Примените эти теги между Брандмауэр Azure и группами безопасности сети, позволяя службе тестирования доступности получать доступ к конечным точкам. Тег ApplicationInsightsAvailability службы применяется ко всем тестам доступности.

  1. Если вы используете группы безопасности сети Azure, перейдите к ресурсу группы безопасности сети и в разделе Параметры выберите правила безопасности для входящего трафика. Нажмите кнопку Добавить.

     

  2. Затем выберите тег службы в качестве источника и выберите Application Аналитика Availability в качестве тега исходной службы. Используйте открытые порты 80 (http) и 443 (https) для входящего трафика от тега службы.

     

• Чтобы управлять доступом, когда конечные точки находятся за пределами Azure или если теги служб не являются вариантом, укажите IP-адреса наших агентов веб-тестирования. Диапазоны IP-адресов можно запрашивать с помощью PowerShell, Azure CLI или вызова REST с помощью API тегов службы. Полный список текущих тегов службы и их IP-адресов скачайте JSON-файл.

  1. В ресурсе группы безопасности сети в Параметры выберите правила безопасности для входящего трафика. Нажмите кнопку Добавить.

  2. Затем выберите IP-адреса в качестве источника. Затем добавьте IP-адреса в список с разделителями-запятыми в диапазоны исходного IP-адреса или CIRD.

     

Сценарии с отключением или без входящего трафика

1. Подключение ресурс приложения Аналитика в внутреннюю конечную точку службы с помощью Приватный канал Azure.
2. Напишите пользовательский код для периодической проверки внутреннего сервера или конечных точек. Отправьте результаты в приложение Аналитика с помощью API TrackAvailability() в основном пакете SDK.

Устранение неполадок

Дополнительные сведения см. инструкции по устранению неполадок, приведенные в этой статье.

Следующие шаги

• Приватный канал Azure
• Оповещения о доступности
• Обзор доступности
• Пользовательские тесты доступности с помощью Функции Azure