问题标签 [azure-application-gateway]

我在带有应用服务 Web 应用后端池成员/目标MS 链接的 Azure 资源组（无 ASE）中创建了一个带有 WAF（默认检测模式）的应用程序网关（通过 Azure 门户和 PowerShell 遵循信函的说明）。

我没有使用任何自定义域，只是我的 backendPool 成员是 Azure Web App 的基本配置，即 mywebapp.azurewebsites.net（Web App 是一个基本的 ASP.NET 测试站点，在其 .azurewebsites.net 地址上运行良好）。

MS 应用程序网关文档声明他们现在支持将应用服务作为后端池目标（FQDN/我使用）。

据我所知，我的基本 httpSettings、基本侦听器和规则都已正确设置（HTTP 端口 80.

因此，本质上，我的应用程序网关应该侦听附加到它的公共 IP 的端口 80，并将任何传入请求转发到后端池成员（Web 应用程序）。

但是当我尝试访问网关公共 IP（或 DNS 地址）时，我不断收到“找不到 Azure 404 网站”。页/错误。

奇怪的是，如果我从 Azure 门户停止 Web 应用程序，我会收到 502/bad gateway 错误，直到我重新启动返回 404 页面的 Web 应用程序。

我不知道我是否在这里遗漏了什么？有没有人有任何建议？我似乎无法让这个工作。

我正在尝试设置一个 Azure 应用程序网关（带有 WAF），它指向后端池中的 2 个 IIS 服务器（IaaS VM）池。这些服务器托管了许多网站，我正在尝试找出为健康监视器设置探测的最佳方法。本质上，我想要的是 AGW 在其运行状况不佳时仅删除特定站点的路由，而不是整个服务器。通常，我看到添加了一个探测器，其中 -HostName 只是域 (contoso.com)，如果运行状况变差，我的理解是将整个服务器从后端池中删除。

由于有多个子域（a.contoso.com、b.contoso.com 等），是否最好为每个子域设置一个探测集，以及为每个利用探测的子域设置一个规则和侦听器？还是最好只使用整个域进行探测、侦听器和规则，然后将整个服务器放在更新等上？

本质上，它是一个 IIS 盒子，运行相当多的 API，这些 API 由子域分隔，而不是一个具有到每个 API 的自定义路由的单个子域。为了性能，我宁愿保持所有 api 的可访问性，以防只有一个被更新和暂时关闭或有问题而其他人没有。

我正在尝试将 WAF 放在 azure web 应用程序（无 ASE）的前面。Web 应用使用 HTTPS (SSL *.azurewebsites.net) 运行。我已按照此 MS 文档中的说明进行操作：

https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-end-to-end-ssl-powershell

我的 powershell 一切都很顺利。没有问题！

后端池指向正确的 Web 应用程序域 (myapp.azurewebsites.net)。我可以看到后端健康检查显示为健康！

我也想知道，在门户中，当我看到探针刀片时，主机名是空的。-PickHostNameFromBackendHttpSettings当我在创建探针时通过 switch 时，这可能是故意的。只是想提供更多背景信息。

但是，如果我尝试通过网关访问该站点，我会收到 404 - 找不到页面。

有人可以帮我找出问题吗？

我在 Azure 上部署了一个应用程序网关，但后端运行状况一直说“未知”为状态。

如果我通过请求

我收到

但是我没有找到激活探针的方法。我通过 Portal 和 powershell 创建了探针，在这两种情况下我都遇到了同样的问题。

如何激活运行状况探测？

谢谢丹尼尔

我有一个托管在 azure 中的应用服务，我需要使用 Azure 的 Web 应用程序防火墙 (WAF) 来保护它。我已经创建了 WAF 并且还指定了应用服务的 FQDN，但是当我从浏览器中点击它时，我会在大约 3 分钟后收到超时响应。

我已经验证我可以使用http://FQDN访问 AppService 。WAF 的 BackendHttpSetting 配置为 HTTP 端口 80。侦听器也配置为 http 80。我尝试使用 IP 以及 {guid}.cloudapp.net 访问 WAF 端点

我现在没有主意了。

任何指针？

谢谢

我们有一个架构，我们在两个 Azure 应用程序网关前面有一个流量管理器，并根据优先级进行配置（越靠近优先级越高）。我们正在使用应用程序网关进行基于路径的路由到多个 Web 应用程序。如果应用程序网关下的 Web 应用程序（后端池）之一出现故障，流量管理器会继续将流量定向到同一应用程序网关，尽管请求失败。我猜流量管理器只是在探测默认的后端池？任何人都知道在这种情况下如何配置流量管理器，以便在请求在第一优先级位置失败时将流量重新路由到第二个位置？

我有这个天蓝色的设置。

1. 2 LOB 应用服务（Web 应用）位于同一区域，例如 contoso.com 和 Fabrikam.com。我在全球有 3 个不同的地区使用相同的应用程序。
2. 流量管理器将管理这些区域。
3. 每个区域都有一个应用程序网关，用于将请求重定向到适当的主机。
4. 流量管理器需要管理所有 3 个区域的应用程序网关的公共 ip，并相应地重定向请求。

这是一个有效的用例吗？如果是，我将如何为这两个网站配置流量管理器？

我有这个设置：流量管理器配置文件->应用程序网关（piblic ip-xx.xxx）->（基于主机名重定向到后端池）->重定向到 webapp1 和 webapp2。

在这种情况下，我将如何定义 CNAME 记录？我A为 App Gateway 的公共 IP 和CNAME流量管理器配置文件创建了一个名称记录。但我不确定在 azure 门户中的何处添加主机名以映射到 cname。

有人可以帮忙吗？

我Azure Application Gateway + WAF在 Azure WebApp 上运行的 ASP.Net Core 应用程序前面配置了一个。我OWASP 3.0在预防模式下设置了默认规则。

我遇到的问题是，通过 WAF 的每个请求都以一种或另一种方式失败，其中一些默认规则集返回403 - Forbidden status.

通过查看 WAF 日志，我发现很少有规则失败。

1. 已识别 SQL 十六进制编码

   /li>

2. 检测到 SQL 注释序列

   /li>

3. 超出 PCRE 限制

   /li>

那个 url /api/ping 除了 200 OK 没有返回。

我找不到关于这些规则以及何时以及应该启用/禁用哪个规则的任何好的文档。我确信我可以禁用它们，但我觉得 WAF 非常具有攻击性，并且误报太多。

是否有一组默认的规则是好的、安全的并且默认与 ASP.Net Core 应用程序兼容？

我在应用程序网关后面有 2 个 Web 应用程序。我试图通过http://<aap_gateway_pub_ip>/web1应该去http://webapp1.azurewebsites.net和http://<aap_gateway_pub_ip>/web2应该去访问http://webapp2.azurewebsites.net。我已经定义了基于路径的规则，例如：

问题是当我直接访问http://<aap_gateway_pub_ip>请求进入默认池（web1后端池）并打开web1应用程序时。但是当我访问时http://<aap_gateway_pub_ip>/web1，它返回404错误。

需要什么额外的配置才能使它工作？