问题标签 [azure-application-gateway]

如何使用 java sdk 检查应用程序网关的健康状况。我需要使用 java sdk 执行类似下面的 azure cli 命令的类似操作：

azure network application-gateway backend-health show "$1" "$2" --json \ | jq -r '.backendAddressPools[].backendHttpSettingsCollection[].servers[] | 选择（.health ==“健康”）| 。地址'

我开始觉得有点傻。有人能够使用 Python SDK for Azure 成功创建应用程序网关吗？文档看起来不错，但我正在努力寻找正确的参数来传递 azure.mgmt.network.operations.ApplicationGatewaysOperations application_gateways.create_or_update() 的“参数”。我找到了 load_balancer 的完整工作示例，但找不到应用程序网关的任何内容。获取“字符串索引必须是整数，而不是 str”根本没有帮助。任何帮助将不胜感激，谢谢！

更新：已解决。对每个人的建议，仔细查看应用程序网关参数所需的数据类型

根据文章在内部 VNET 中将 API 管理与应用程序网关集成，我需要在 VNET 中为 APIM 和 AppGW 实例设置单独的子网。我想在该模型中部署 3 个生命周期/阶段（DEV、QA、PROD）。这是否意味着我需要 3 次 2 个子网，或者我可以将所有 3 个 APIM 暂存在一个子网中，将所有 3 个 AppGW 实例放在另一个子网中？

我有两个带有 IIS 的虚拟机，它们通过 Azure 应用程序网关来托管我的应用程序来分配流量。网关配置为卸载 SSL，一切正常。

但是，我想在应用程序的路径之一上使用客户端证书身份验证 - 在 NetScaler（或其他一些负载均衡器）上，我只需将序列化的客户端证书放入 HTTP 标头（X-Client-Cert）。

我可以用应用程序网关做类似的事情吗？

我在 AzureRM 中有以下设置。

我想默认将所有请求定向到 Varnish 服务器，但是如果 Varnish 死了，请将它们直接定向到负载均衡器。

我读到故障转移可以通过应用程序网关中的自定义探针来实现，但是如果我将负载均衡器添加到后端池中，如果我的想法是正确的，我相信它会在 Varnish 和 LB 之间进行循环。

拥有 App Gateway 的原因是卸载 SSL 证书。

是否可以使用 Azure 服务来实现此基础架构？

我有下一个天蓝色设置：

1. 具有自己的 vnet 的应用程序网关平衡器。

2. 应用程序网关后端池中的两个 vm，它们有自己的 vnet 和应用于 vm 的网络安全组。

主要问题： 如何指示网络安全组仅允许来自应用程序网关的 http/https 流量？

我试过的：

a) 在具有标记 AzureBalancer 的源的网络安全组中添加了入站规则。不管用 。探测器告诉我虚拟机处于不健康状态。

b) 我查看了两个 vnet，并添加了一个具有源标签 VirtualNetwork 的入站规则。和上面一样，探针告诉我虚拟机处于不健康状态。

c) 我在 nsg 中添加了一个入站规则，只允许来自应用程序网关的公共 IP 的流量。这工作正常，探测器看到虚拟机处于健康状态。

唯一的问题是应用网关的公共 IP 地址是动态的，不能设为静态。
因此，当 ip 将更改我的规则将不起作用。

我很想知道如何使这个设置起作用。

我在 azure 文档站点上看到的所有示例都是一个具有多个子网的单个 vnet。

I have the next setup in azure :

1. One application gateway balancer
2. Two virtual machines in the backend pool of the gateway .
3. On the vms there is a signalr app deployed.

Problem :

When a client (browser) will invoke a method on a signalr hub server and the message size is aprox equal or grater then 70kb I receive (enabling logging on signalr client side) :

SignalR: Unclean disconnect from websocket: [no reason given]. SignalR: Closing the Websocket.

SignalR: Clearing hub invocation callbacks with error: Connection started reconnecting before invocation result was received.

SignalR: [server method] failed to execute. Error: Connection started reconnecting before invocation result was received.

Client is disconnected , after it tries to reconnect and send the message again. On reconnect I get a 101 HTTP response status from the server. Here are the logs:

SignalR: webSockets reconnecting.

SignalR: Connecting to websocket endpoint

SignalR: Closing the Websocket.

SignalR: Clearing hub invocation callbacks with error: Connection started reconnecting before invocation result was received.

SignalR: [server method] failed to execute. Error: Connection started reconnecting before invocation result was received. SignalR: webSockets reconnecting.

SignalR: Websocket opened.

Question : Does Azure Application Gateway has some limitations for the websockets message size ?

I tried this on a vm in Azure , by directly accessing IIS and I don't get the same error for the same message when I try to send it from the client to signalr hub .

I couldn't find any reference in azure application gateway documentation about max size for websockets messages.

Any help is appreciated.

我正在寻找一些 Azure 安全最佳实践建议。我已经看过一些关于如何做到这一点的文章，但如果有必要，则不是。

我有一个客户想迁移到 Azure，他们特别要求我们尽可能坚持使用 PAAS 解决方案。我们将部署的应用程序相当简单，因此一些 Web 应用程序服务将满足要求。

问题是他们一直是相当规避风险和安全意识的，所以我想知道最佳实践是否会说我们需要一个虚拟网络中的每个站点都在一个带有 WAF 的应用程序网关后面，或者我们可以让应用程序服务运行并且默认情况下 Azure 会做的足够多吗？

在他们当前的托管解决方案中，我们有 WAF 和 DDOS 保护，但这只是最近添加的，它几乎是一个勾选框练习。

我有一个应用程序，我需要在负载均衡器后面设置主动-被动模式，以便所有连接都应该转到活动实例。如果主动实例出现故障，它应该从被动实例开始会话。

我收集到的唯一信息是我们只能在负载均衡器后面设置活动实例，它将在它们之间分配负载。

在这里欣赏任何线索。

这是设置。我有一个配置有两个后端池的应用程序网关：
BAP 1：VM 1、2、3
BAP 2：VM 1

我有两个听众：
听众 1：web1.mysite.com
听众 2：web2.mysite.com

HTTP 设置：
设置 1：HTTPS
设置 2：HTTPS

我有两条规则：
网站 1：映射到 BAP 1、侦听器 1、设置 1
网站 2：映射到 BAP 2、侦听器 2、设置 2

我想要发生的是对网站 2 (web2.mysite.com) 的所有请求仅转到 VM 1（通过规则映射）。我的设置似乎反映了这一点。

但是，我在所有三个 VM 上的网站 2 的 IIS 日志中都看到了流量。这怎么可能？我尝试过不重叠的池（即池 1 仅包含 VM 2 和 3，池 2 仅包含 VM1），但在访问 web2.mysite.com 时，我仍然获得所有三台机器的流量。

我的后端运行状况显示 VM 1、2、3 对于 HTTP 设置 1 是正常的，而 VM 1 对于 HTTP 设置 2 是正常的。这是我所期望的。没有不健康的探测。在 VM 2 和 3 上，为了更好地衡量，我特意设置了 web2.mysite.com 并确保不存在运行状况探测中指定的文件（即，如果运行状况探测发生故障，则应该使运行状况探测认为站点已关闭甚至查看 VM 2 和 3，它不应该是）。

我的想法是发生了某种处理顺序问题，但否则我不知所措。

先感谢您！