无法使用NSG配置Azure App Gateway V2

Question

我已为WAF V2 SKU设置了App Gateway。然后，我将后端池配置为指向WebApp，并添加IP限制以仅允许来自WAF IP的流量。然后，我尝试将NSG添加到预配置的子网中，以进一步限制到前端IP地址的流量。我收到一个错误（请参阅下文）。对于Application Gateway FAQ，这应该可行，但有麻烦。以下是部署错误的详细信息：

Network security group /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/networkSecurityGroups/BannerCIDRNsg blocks incoming internet traffic on ports 65200 - 65535 to subnet /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/virtualNetworks/dbt-sc-platform-rg/subnets/default, associated with Application Gateway /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/applicationGateways/dbt-sc-appgw. This is not permitted for Application Gateways that have V2 Sku.

Answer 1

错误消息显示，您需要将端口 65200-65535 上的传入Internet通信添加到网络安全组BannerCIDRNsg中的子网默认值。

对于每个Application Gateway FAQ，您可以将对某些源IP的应用程序网关访问列入白名单。

可以使用Application Gateway子网上的NSG完成此方案。应该按照列出的优先级顺序对子网设置以下限制：

  

允许来自源IP / IP范围的传入流量。

     

必须为端口 65503-65534 上的传入流量设置例外   适用于Application Gateway V1 SKU和适用于V2的端口 65200-65535   SKU。 Azure基础结构需要此端口范围   通讯。它们受到Azure证书的保护（锁定）。   没有适当的证书，外部实体，包括   这些网关的客户将无法启动任何更改   在这些端点上。

     

允许传入的Azure负载平衡器探针（AzureLoadBalancer标记）和   NSG上的入站虚拟网络流量（VirtualNetwork标记）。

     

使用“拒绝全部”规则阻止所有其他传入流量。

     

允许所有目的地的互联网出站流量。

Answer 2

对于那些仍然有问题的人。尝试将包含网关V2 WAF的子网与现有NSG关联时，出现错误消息“子网与v2 sku关联的网关”。

奇怪的是，导航到VNET-> SubNet并单击给定的SubNet之后将NSG关联到该SubNet没问题。

希望这将帮助大家解决同一问题。

Answer 3

要将 NSG 关联到包含应用程序网关的子网，请允许来自

的流量

1. 来源：'GatewayManager'，端口：任何到目的地：'GatewayManager'服务标签，目的地端口：65503-65534
2. 必须允许来自目标子网为 Any 的 AzureLoadBalancer 标记的流量。 注意：请注意不要在这些入站规则之前添加拒绝规则，所以给它们一个低优先级的 no，以避免意外错误配置

还有，

1. 无法阻止出站 Internet 连接

参考：https://docs.microsoft.com/en-us/azure/application-gateway/configuration-infrastructure#network-security-groups