Publikus listener tiltása Azure application gateway-en Policy-val
Ha már Azure-t használunk, akkor érdemes PaaS szolgáltatásokat használni. Számtalan előnye van ezeknek a szolgáltatásoknak, de semmi sincs ingyen. Azon kívül, hogy költség oldalról természetesen a Microsoft beárazta a különböző szolgáltatásokat, vannak feltételek is ezek esetében. Nincs ez másképp az Application Gateway v2 esetén is, ami csak úgy hajlandó létrejönni, ha használhat publikus IP-t. Ezzel együtt viszont nem kötelező használnunk is azt a publikus IP-t. Tehát létrehozhatunk egy AppGwV2-t, de valahogy el kell érnünk, hogy a publikus lábát senki ne használja és itt jön ismét az Azure policy, ami meg tudja nekünk azt oldani, hogy ne legyen senki a publikus lábon. Egyik este meg is írtam hozzá a szükséges Policy-t, ami sajnos megkerülhető volt egy régi API verzióval (Köszi Ricsi :D ), de a harmadik megközelítés már minden igényemnek megfelelt.
Policy
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
{
"mode": "All",
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/applicationGateways"
},
{
"count": {
"field": "Microsoft.Network/applicationGateways/frontendIPConfigurations[*]",
"where": {
"allOf": [
{
"field": "Microsoft.Network/applicationGateways/frontendIPConfigurations[*].subnet.id",
"exists": "false"
},
{
"value": "[concat(field('id'),'/frontendIPConfigurations/',current('Microsoft.Network/applicationGateways/frontendIPConfigurations[*].name'))]",
"in": "[field('Microsoft.Network/applicationGateways/httpListeners[*].frontendIPConfiguration.id')]"
}
]
}
},
"greater": 0
}
]
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}