4

我有下一个天蓝色设置:

  1. 具有自己的 vnet 的应用程序网关平衡器。

  2. 应用程序网关后端池中的两个 vm,它们有自己的 vnet 和应用于 vm 的网络安全组。

主要问题: 如何指示网络安全组仅允许来自应用程序网关的 http/https 流量?

我试过的

a) 在具有标记 AzureBalancer 的源的网络安全组中添加了入站规则。不管用 。探测器告诉我虚拟机处于不健康状态。

b) 我查看了两个 vnet,并添加了一个具有源标签 VirtualNetwork 的入站规则。和上面一样,探针告诉我虚拟机处于不健康状态。

c) 我在 nsg 中添加了一个入站规则,只允许来自应用程序网关的公共 IP 的流量。这工作正常,探测器看到虚拟机处于健康状态。

唯一的问题是应用网关的公共 IP 地址是动态的,不能设为静态。
因此,当 ip 将更改我的规则将不起作用。

我很想知道如何使这个设置起作用。

我在 azure 文档站点上看到的所有示例都是一个具有多个子网的单个 vnet。

4

2 回答 2

5

如果应用程序网关子网上有 NSG,则应在应用程序网关子网上为入站流量打开端口范围 65503-65534。这些端口是后端运行状况 API 工作所必需的。我已经从本文档中逐字复制了上述句子:https ://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-diagnostics ...因为我遇到了同样的问题。将上述内容添加到我的 NSG 后,我的运行状况检查探针就起作用了。

于 2017-05-16T17:14:34.897 回答
2

唯一的问题是应用网关的公共 IP 地址是动态的,不能设为静态。

你是对的,目前,我们不能将应用程序网关公共设置为静态。

而且我们无法使用应用程序网关FQDN添加 NSG 入站规则。

作为一种解决方法,我们可以使用内部 IP作为后端池成员,将它们与vnet peeringVPN gateway 连接

于 2017-03-21T02:41:07.960 回答