问题标签 [azure-application-gateway]

应用程序网关是 MS Azure 中支持 SSL 证书的负载均衡器。在 aws 负载均衡器中，我们选择可用于连接到负载均衡器的协议，例如 TLSv1.1、TLSv1.2。在 MS Azure 中可以选择请求应该连接的协议吗？或者是否有从应用程序网关禁用 TLSv1 的方法？

我一直在尝试将 Azure 应用程序网关部署到现有 VM 上的前端应用程序，并使用主机名进行池选择。我根据文章https://github.com/Azure/azure-从 git https://github.com/Azure/azure-quickstart-templates/tree/master/201-application-gateway-multihosting开始使用此模板内容/blob/master/articles/application-gateway/application-gateway-multi-site-overview.md

这是我使用的修改后的模板

如您所见，我将 GWSubnet1 指定为 App Gateway 子网。我的后端 IP 位于同一虚拟网络下的 VMnet1 子网中。当我部署它失败说它不能删除 VMnet1。VMNet1 只是间接引用为后端 IP，所以它为什么要尝试删除它。根据 Azure 的部署规则，GWSubnet1 是一个未使用的空子网。

如果我使用 GUI，我可以创建网关并选择 GWSubnet1。然而，使用 GUI 将主机名放入列表器的高级功能不是一个选项，因此不会让您使用相同的前端端口创建多个列表器。我尝试使用 GUI，然后使用以下命令通过 Poweshell（版本 3.0.0）添加侦听器

然而，似乎发生的是它没有添加侦听器，它只是修改了在您通过 GUI 创建应用程序网关时创建的现有默认侦听器。无论我选择什么名字作为听众，它都会这样做。

我知道部署模板有效，因为我可以创建一个新的空资源组并将其部署在其中并进行部署。我似乎无法将其部署在现有虚拟机的地方。这样做的正确方法是什么？

目前，我有一个 Service Fabric 集群，其中包含 2 个托管 Asp Web API 的无状态服务。在创建集群时，还创建了适当的 Azure 负载均衡器。

现在，由于 SSL 卸载、url 路由等各种原因，我想在集群前面添加应用程序网关。

我想了解如何正确配置应用程序网关。我看到 2 个选项，不确定哪个是有效的：

• Application Gateway 替换了现有的负载均衡器，直接指向托管 WebApi 的 SF 服务
• 我保留现有的 LB 配置和应用程序网关指向此 LB（似乎 1 LB 解决方案太多）

哪一个是正确的？任何建议如何配置？

我们在两个数据中心上托管了 Web 应用程序以实现高可用性，并且我们使用带有循环路由方法的流量管理器将流量路由到两个数据中心中的任何一个。

现在根据业务需求，我们需要按 URL 模式路由流量。比如说，对于 url /api/v1，路由到数据中心 1，对于 url /api/v2，路由到数据中心 2。

我知道流量管理器不支持基于 url 的路由。任何解决方法？

我的要求 -

我想做这样的重定向。我有多个将运行的应用程序服务，并且基于我想要重定向到正确的 URL 的 URL。

像这样的东西-

test.com/v1 -> app service appv1.com test.com/v2 -> app service appv2.com test.com/v3 -> app service appv3.com

考虑到它支持 url 映射，Azure 应用程序网关是否是正确的选择。

不过，我不确定应用程序服务的应用程序网关是否可以工作？App服务的公网IP是静态的吗？是否应该用于配置应用程序网关

Azure 应用程序网关后面的应用程序的复杂 REST 查询的 URL 查询字符串失败。当在本地运行时，会传递 > 2048 个字符的长 URL，这表明问题不在于 Apache。当通过网关到达同一查询时，将返回 404 响应。

Azure 似乎没有任何文档或 API/UI 选项描述如何或允许增加此限制。

我们还使用设置为长限制的 IIS 后端对此进行了测试。再次在 localhost 上，URL 可以正常传递，但是从外部通过网关返回 404 响应。较短长度的查询字符串正确通过。

Azure 经典云服务附带一个内置负载均衡器，允许从生产到暂存的快速 VIP 交换，反之亦然。Azure 资源管理器提供了哪些等效功能？我可以使用 DNS，但是我有 TTL 延迟。

我想要快速交换，因为我的后端服务器是有状态的，并且无法在暂存和生产中处理相同的数据而不会相互覆盖。在我当前的系统中，过期的连接（例如，由于 HTTP 保持活动）被拒绝并强制重新加载，从而强制建立新的连接。

我想我也许可以使用 Azure 应用程序网关来做到这一点，但它没有被列为其功能之一。

I'm trying to implement SSL offload in Azure Application Gateway as described in documentation: https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-ssl-portal

It requires to upload existing SSL certificate in PFX format.

How can I generate it?

I assume it should be specific for the DNS name of the Application Gateway. I can see it has automatically generated DNS name in the associated appGatewayFrontendIP (Frontend IP configurations > Public > Public IP address), but I can't specify the DNS name I want.

Am I supposed to create a CNAME in my DNS domain for the Application Gateway and generate a certificate for this CNAME?

在这里，我们想将应用程序网关重定向到 https，我们不想手动输入 https 来获取 SSL。我们将网关用于结构，我们希望结构上的所有应用程序都使用 SSL。

我在 Azure 中有一个带有两个应用服务和一个 Windows VM 的 VNET。它们使用 VPN 点对点在同一个 VNET 中。

我想用 WAF 保护这个环境，并且读到我可以使用应用程序网关 WAF，而不是使用应用服务环境和梭子鱼进行非常昂贵的设置。

谁能解释我如何做到这一点？我找到的最接近的是https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-application-firewall-portal。