问题标签 [azure-application-gateway]

我们希望使用 Azure 应用程序网关对请求进行一些巧妙的路由，我想知道该产品是否足够灵活，可以执行以下操作：

如果源 IP 在给定的子网中（例如SN-A）并且URL 以/foo/*然后路由到 Pool B结尾，否则路由到 Pool A。

WAF 似乎为每个请求添加了一个 http 标头，其值如下：

server:Microsoft-IIS/10.0

这对我们来说是一个大问题，因为它导致我们无法通过希望使用我们服务的第三方执行的渗透测试。以前我们使用 url 重写模块来删除服务器标头，但是通过使用 WAF 已将其重新添加。

如果不讨论这是否是一个安全漏洞（我认为不是），如果我们无法控制对客户端的响应，我们就无法通过这个渗透测试。有什么选择还是我们必须放弃 Azure WAF？

我的公司希望能够将许多面向公众的无状态服务实例部署到我们的节点，而无需为服务指定端口号。

似乎 Service Fabric 已经支持通过已知结构地址使用命名服务路由流量的能力。它还支持通过 DNS 服务映射到 DNS 名称。这些选项中的任何一个似乎都非常适合我们的要求。

我在互联网上进行了非常彻底的搜索，试图找到一种方法来使用某种形式的第 7 层堆栈（最好使用应用程序网关）从外部解决这些服务，但我正在画一个空白。

我发现以下文章展示了 API 管理产品如何与 Service Fabric 集成。Azure 团队似乎在这里有一个完美的工作实现，但没有关于如何使用替代网关实现此设置的文档。

是否有任何参考资料可以说明我们如何配置应用程序网关等产品以满足我们的需求？

非常感谢

使用service-fabric-issues tracker引发重复票证。

是否可以使用 Azure 应用程序网关将传入流量路由到 URL/端口并附加路径？我想这样做，因此可以使用 Service Fabric 反向代理查找。

即我在ms-company.domain.com上有一个监听器，我希望它重定向到http://servicefabric.domain.com:19081/Company/Microservice/api/healthcheck

这样，即使我在反向代理查找中更改了微服务所在的端口，也可以正常工作。

我已经设置了一个带有 Web 应用程序防火墙的 azure 应用程序网关，以将流量路由到 azure 应用程序服务。这需要设置 VPN。我已按照类似于此的说明进行操作：https ://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-powershell

但是，它没有解释如何仅通过应用程序网关限制应用程序服务的流量。

如果我进入应用服务网络选项卡，则可以选择使用 VNet 集成。我认为这可能是一种锁定通过网关访问应用程序服务的方法，但我无法选择网关 VPN，因为 azure 告诉我“这个虚拟网络没有网关”。

那么如何锁定对应用程序服务的访问，以便只有通过网关的流量才能访问它？

我们有一个场景，我们有多个 Azure 应用服务，我们部署了 Web API。但是，我们需要所有应用服务使用相同的域名（而不是子域），例如 在一个应用服务上使用http://example.com/api1，在其他应用服务上使用http://example.com/api2 。我们已经研究过使用应用程序网关，但似乎还不支持 URL 重写。有没有办法在不使用第三方组件的情况下实现这一目标？

谢谢

我已经按照 MS 文档设置了一个新的应用程序网关。我已经配置了后端池。它通过 FQDN 连接到应用服务。每次浏览到应用程序网关时，我都会以某种方式立即收到 502。直接浏览网站没有问题。

我想使用基于路径的路由到我的 azure app service web 应用程序，以便

http://mysite.mydomain.com/site1指向http://mysite1.azurewebsites.net http://mysite.mydomain.com/site2指向http://mysite2.azurewebsites.net

做这个的最好方式是什么？（我想保留两个应用程序服务。不将两个应用程序打包为一个虚拟目录）

我尝试使用可以为此配置的 Azure 应用程序网关，但后来我无法将 Web 应用程序配置为接受来自同一自定义域的流量。

总之，这就是我所做的：

• mysite.mydomain.com 的 DNS 记录指向具有 CNAME 记录的应用程序网关的 FQDN

• 应用程序网关配置为：

  http://mysite.mydomain.com/site1指向http://mysite1.azurewebsites.net http://mysite.mydomain.com/site2指向http://mysite2.azurewebsites.net

• 为了让 Web 应用程序响应这个重定向的请求，它们需要配置一个自定义域。由于 mysite.mydomain.com 的 CNAME 记录指向应用程序网关，因此我无法将其移至 Web 应用程序。因此，我添加了一条 TXT 记录并添加了

  awverify.mysite1 指向http://mysite1.azurewebsites.net

这足以使第一条路线工作。现在http://mysite.mydomain.com/site1愉快地返回来自第一个应用服务 Web 应用的响应。

但是，当我为第二个站点进行类似配置时。第二个网络应用拒绝接受与第一个相同的自定义域：

主机名已在以下应用程序中使用：mysite1。请从 mysite1 中删除主机名，然后重试。

那么如何将相同的自定义域添加到两个应用服务 Web 应用中，以便它们可以在这样的场景中使用呢？

我有一个在多个端口上运行多个 Web 应用程序/API 的服务结构。例如：

等等。

我正在尝试使用自定义域和 SSL 卸载配置应用程序网关，但我收到 502 错误。这是我配置的：

• 后端池 - 添加了 VM 规模集公共 IP 和负载 SF 负载均衡器 FQDN (cluster.centralus.cloudapp.azure.com)
• HTTP 设置 - 在端口 9012 ( http://cluster.centralus.cloudapp.azure.com:9012/app1 )上添加了 HTTP
• 侦听器 - 在端口 443 上添加了带有 SSL 证书的 HTTPS 侦听器
• 规则 - 结合以上所有的基本规则

我可以通过公共 IP 和 SF 负载平衡 ( http://cluster.centralus.cloudapp.azure.com:9012/app1 ) 访问 Web 应用程序/服务，但是当我尝试网关时，我收到 502 错误。MSDN 文档似乎没有多大帮助。我的问题是，我需要配置什么来支持自定义端口（在我的情况下为 9012,9013 等）上的 SF 应用程序以使用网关中的 443 端口和自定义域/SSL

我不是系统管理员或网络管理员，因此我很难在不使用负载均衡器的情况下想办法在 Azure Service Fabric 群集上支持 IPv6。

从这里开始：除了负载均衡器之外，对 Azure 的 IPv6 支持

我已经检查过 IPv6 仅受该 lb 设备支持，但我当前集群的入口点是应用程序网关。

是否有推荐的解决方法来添加 IPv6 支持以使用 Azure 应用程序网关