Post

Publikus listener tiltása Azure application gateway-en Policy-val

Ha már Azure-t használunk, akkor érdemes PaaS szolgáltatásokat használni. Számtalan előnye van ezeknek a szolgáltatásoknak, de semmi sincs ingyen. Azon kívül, hogy költség oldalról természetesen a Microsoft beárazta a különböző szolgáltatásokat, vannak feltételek is ezek esetében. Nincs ez másképp az Application Gateway v2 esetén is, ami csak úgy hajlandó létrejönni, ha használhat publikus IP-t. Ezzel együtt viszont nem kötelező használnunk is azt a publikus IP-t. Tehát létrehozhatunk egy AppGwV2-t, de valahogy el kell érnünk, hogy a publikus lábát senki ne használja és itt jön ismét az Azure policy, ami meg tudja nekünk azt oldani, hogy ne legyen senki a publikus lábon. Egyik este meg is írtam hozzá a szükséges Policy-t, ami sajnos megkerülhető volt egy régi API verzióval (Köszi Ricsi :D ), de a harmadik megközelítés már minden igényemnek megfelelt.

Policy

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
{
 "mode": "All",
 "policyRule": {
  "if": {
   "allOf": [
    {
     "field": "type",
     "equals": "Microsoft.Network/applicationGateways"
    },
    {
     "count": {
      "field": "Microsoft.Network/applicationGateways/frontendIPConfigurations[*]",
      "where": {
       "allOf": [
        {
         "field": "Microsoft.Network/applicationGateways/frontendIPConfigurations[*].subnet.id",
         "exists": "false"
        },
        {
         "value": "[concat(field('id'),'/frontendIPConfigurations/',current('Microsoft.Network/applicationGateways/frontendIPConfigurations[*].name'))]",
         "in": "[field('Microsoft.Network/applicationGateways/httpListeners[*].frontendIPConfiguration.id')]"
        }
       ]
      }
     },
     "greater": 0
    }
   ]
  },
  "then": {
   "effect": "deny"
  }
 },
 "parameters": {}
}
This post is licensed under CC BY 4.0 by the author.