我已按照此article在多个Azure Web App后端池前面配置了一个应用程序网关。
除了提供WAF之外,我还使用应用程序网关将SSL连接卸载到后端池。我已将后端池配置为使用App Service实例的FQDN,因为它们当前尚未部署到VNET中。
基于以下情况:
对custom.com的请求:443 --->应用程序网关---> custom.azurewebsites.net:80
我担心的是,从应用程序网关到Web应用程序的连接在端口80上未加密,并且在任何地方都找不到将这种连接描述为在Azure骨干网上发生的信息。是否有可能会嗅探和破坏此流量?
答案 0 :(得分:0)
请Microsoft支持人员说,从我的应用程序网关到Web应用程序的通信将保留在Microsoft主干网上。
他还向我指出了以下knowledge article;哪个状态:
如果目标地址是Azure的一项服务,则Azure会将流量直接通过Azure的骨干网络路由到该服务,而不是将流量路由到Internet。无论虚拟网络存在于哪个Azure区域中,或Azure服务实例部署在哪个Azure区域中,Azure服务之间的流量都不会遍历Internet。