Azure 网络安全组和应用程序网关
Azure network security group and Application Gateway
我有下一个 Azure 设置:
具有自己的 vnet 的应用程序网关平衡器。
应用程序网关后端池中的两个 vms,它们有自己的 vnet 和应用于 vms 的网络安全组。
主要问题:
如何指示网络安全组仅允许来自应用程序网关的 http/https 流量?
我试过的 :
a) 在网络安全组中添加了入站规则,其源具有标记 AzureBalancer。不管用 。探测器告诉我虚拟机处于不健康状态。
b) 我查看了这两个 vnet,并添加了一个具有源标记 VirtualNetwork 的入站规则。同上,探测器告诉我虚拟机处于不健康状态。
c) 我在 nsg 中添加了入站规则以仅允许来自应用程序网关的 public ip 的流量。这工作正常,探测器发现虚拟机处于健康状态。
唯一的问题是public应用网关的ip地址是动态的,不能静态化。
因此,当 ip 更改时,我的规则将不起作用。
我很想知道如何使此设置有效。
我在 Azure 文档站点上看到的所有示例都是一个具有多个子网的单个 vnet。
The only problem is that the public ip address of the application
gateway is dynamic and it cannot be made static.
你是对的,目前,我们不能将应用程序网关public设置为静态。
而且我们不能使用应用程序网关添加 NSG 入站规则 FQDN。
作为解决方法,我们可以使用 内部 IP 作为后端池成员,将它们连接到 vnet peering or VPN gateway。
如果应用程序网关子网上有 NSG,则应在应用程序网关子网上为入站流量打开端口 运行ges 65503-65534。这些端口是后端运行状况 API 工作所必需的。
我从这份文件中逐字复制了上面的句子:https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-diagnostics
...和我 运行 陷入同样的问题。将以上内容添加到我的 NSG 后,我的健康检查探测器开始工作了。
我有下一个 Azure 设置:
具有自己的 vnet 的应用程序网关平衡器。
应用程序网关后端池中的两个 vms,它们有自己的 vnet 和应用于 vms 的网络安全组。
主要问题: 如何指示网络安全组仅允许来自应用程序网关的 http/https 流量?
我试过的 :
a) 在网络安全组中添加了入站规则,其源具有标记 AzureBalancer。不管用 。探测器告诉我虚拟机处于不健康状态。
b) 我查看了这两个 vnet,并添加了一个具有源标记 VirtualNetwork 的入站规则。同上,探测器告诉我虚拟机处于不健康状态。
c) 我在 nsg 中添加了入站规则以仅允许来自应用程序网关的 public ip 的流量。这工作正常,探测器发现虚拟机处于健康状态。
唯一的问题是public应用网关的ip地址是动态的,不能静态化。
因此,当 ip 更改时,我的规则将不起作用。
我很想知道如何使此设置有效。
我在 Azure 文档站点上看到的所有示例都是一个具有多个子网的单个 vnet。
The only problem is that the public ip address of the application gateway is dynamic and it cannot be made static.
你是对的,目前,我们不能将应用程序网关public设置为静态。
而且我们不能使用应用程序网关添加 NSG 入站规则 FQDN。
作为解决方法,我们可以使用 内部 IP 作为后端池成员,将它们连接到 vnet peering or VPN gateway。
如果应用程序网关子网上有 NSG,则应在应用程序网关子网上为入站流量打开端口 运行ges 65503-65534。这些端口是后端运行状况 API 工作所必需的。 我从这份文件中逐字复制了上面的句子:https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-diagnostics ...和我 运行 陷入同样的问题。将以上内容添加到我的 NSG 后,我的健康检查探测器开始工作了。