应用程序网关受IP限制

Question

我们在azure中有一个VM集群，暴露了一些内部API。为了更安全，我们使用Application Gateway来进行ssl卸载。但我们也想限制可以访问此API的外部IP。有没有办法只允许一系列IP连接和Application Gateway？

感谢。

Answer 1

问。 Application Gateway子网是否支持网络安全组？
Application Gateway子网支持网络安全组，但必须为端口65503-65534添加例外，以使后端运行状况正常工作。不应阻止出站互联网连接。

因此，只需在NSG的子网上创建一个网络安全组并限制IP。网络安全组基本上是防火墙 https://docs.microsoft.com/en-us/azure/virtual-network/virtual-networks-nsg

Answer 2

对于那些在2020年看到此问题的人，我将添加 V1 sku的端口范围与 V2 应用程序网关sku的端口范围不同。

如果要将网络安全组添加到应用程序网关所在的子网，则需要允许以下端口范围的所有入站流量：

V1：65503-65534

V2：65200-65535

作为参考，如果您尝试将NSG分配给应用程序网关子网，而没有首先允许所需的端口范围（我的详细信息已删除），Azure门户将抛出以下错误。

无法保存子网“ xxxxxxxxxx”。错误：“网络安全组xxxxxxxxxx / providers / Microsoft.Network / networkSecurityGroups /”。 xxxxxxxxxx阻止端口65200-65535上的传入Internet通信进入子网/subscriptions/xxxxxxxxxx/resourceGroups/xxxxxxxxxx/providers/Microsoft.Network/virtualNetworks/xxxxxxxxxx/subnets/xxxxxxxxxx，与应用程序网关/ subscriptions / xxxxxxxxxx / resourceGroups / xxxxxxxxxx / providers /相关联Microsoft.Network/applicationGateways/xxxxxxxxxx。具有V2 Sku的应用程序网关不允许这样做。'

一般说明：

1. 创建您的网络安全组。确保创建两个传入规则-（1）允许上述定义的适用端口范围内的所有传入流量，以及（2）允许必要的应用程序端口，例如80和443，这是标准的HTTP和HTTPS流量端口。当然，这应该与您在应用程序网关上配置的任何规则/侦听器相匹配。
2. 从“虚拟网络”刀片中，选择适用的虚拟网络，然后从边栏中选择“子网”。然后，选择适用的子网，然后会出现一个配置面板，该面板将允许您将NSG分配给您的子网。

我将进一步提醒您一些可能有用的提示。

1. 出于管理公共IP流量的目的，将网络安全组应用于后端池中定义的虚拟机将不起作用。路由到VM的流量来自您的应用程序网关，这当然是与您的应用程序网关相关联的实例的IP，而不是您可能要定位的面向公众的客户端IP。
2. 如果您正在使用自己的公共IP测试策略，请务必注意，如果您尝试从现有的浏览器会话访问应用程序，则不会反映出来。通话将继续进行，直到您完全关闭浏览器或使用隐身模式为止。
3. 可以安全地将网络安全组分配给您的应用程序网关，因为它不会导致停机（除非您忘记创建入站应用程序规则）。