我有下一个azure设置:
应用程序网关平衡器与它自己的vnet。
应用程序网关后端池中有两个vms,它们有自己的vnet和网络安全组应用于虚拟机。
主要问题: 如何指示网络安全组仅允许来自应用程序网关的http / https流量?
我尝试了什么:
a)添加了具有标记AzureBalancer的源的网络安全组中的入站规则。不管用 。探测器告诉我,vms处于不健康的状态。
b)我已经看了两个vnets,并且我添加了一个包含源标记VirtualNetwork的入站规则。与上面相同,探测器告诉我vms处于不健康状态。
c)我在nsg中添加了一个入站规则,只允许来自应用程序网关的公共ip的流量。这工作正常,探测器看到vms处于健康状态。
唯一的问题是应用程序网关的公共IP地址是动态的,不能是静态的 因此,当ip改变时,我的规则将无效。
我很想知道如何使这个设置有效。
我在azure文档站点上看到的所有示例都是一个带有多个子网的vnet。
答案 0 :(得分:3)
如果Application Gateway子网上有NSG,则应在Application Gateway子网上为入站流量打开端口范围65503-65534。后端运行状况API需要这些端口才能工作。 我从这份文件中逐字复制了上述句子:https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-diagnostics ......当我遇到同样的问题时。将上述内容添加到我的NSG后,我的健康检查探针就可以了。
答案 1 :(得分:1)
唯一的问题是应用程序的公共IP地址 网关是动态的,不能是静态的。
您是对的,目前我们无法将应用程序网关公开设置为静态。
我们无法使用应用程序网关 FQDN 添加NSG入站规则。
作为解决方法,我们可以将内部IP 用作后端池成员,并将其与vnet peering或VPN gateway相关联。