Веб-приложение Azure не может видеть виртуальную машину через соединение vnet-to-vnet

Question

У меня есть виртуальная машина, на которой запущена служба WebAPI, которую я хочу подключить к веб-приложению Azure, используя соединение vnet-to-vnet. Таким образом, у меня есть VPN, настроенные следующим образом:

Виртуальная машина - VMVnet

Address Space: 10.1.0.0/16
Subnet: 10.1.0.0/24
Gateway Subnet: 10.1.1.0/27
Private IP: 10.1.0.4

Я также открыл целевой порт в брандмауэре Windows.

Веб-приложение - AppVnet

Address Space: 10.2.0.0/16
Subnet: 10.2.0.0/24
Gateway Subnet: 10.2.1.0/27

У меня также есть виртуальные сетевые шлюзы, настроенные для обоих, каждое из которых соединяется с другим.

Теперь, после того как я подключу приложение к AppVnet и синхронизирую маршруты из сетевого раздела плана обслуживания приложения, я смогу подключиться к виртуальной машине, используя ее частный IP-адрес из кода приложения. Когда я пытаюсь, я получаю следующую ошибку:

An attempt was made to access a socket in a way forbidden by its access permissions

Я также пытался настроить пиринг виртуальных сетей между сетями, но это тоже не сработало.

Возможно ли то, что я пытаюсь сделать, с помощью веб-приложений Azure? Я видел этот вопрос , который выглядел как то, что я искал, но информации в нем немного не хватает.

Если нет, у меня есть , который пытался сделать это с конфигурацией «точка-сайт» с приложением, подключенным к виртуальной сети виртуальной машины, и это работало нормально. Было бы предпочтительнее установить вторую виртуальную машину на виртуальной машине с помощью AppVnet и подключить все приложения через нее?

Answer 1

Мне просто интересно, почему ни пиринг vnet-to-vnet, ни пиринг vnet не работает с веб-приложением

Прежде всего вам необходимо знать, Интегрировать ваше приложение с виртуальной сетью Azure.

Вот несколько вещей, о которых следует помнить, прежде чем подключать свое веб-приложение к виртуальная сеть:

• Если ваша целевая виртуальная сеть уже существует, для нее должна быть включена точка-точка VPN с шлюзом динамической маршрутизации, прежде чем она сможет быть подключенным к приложению.
• Если ваш шлюз уже существует с включенным двухточечным подключением, и его нет в базовом SKU, IKEV2 должен быть отключен в промежуточном узле. конфигурации.

То есть, у вас уже есть P2S-соединение, которое вы можете подключить к AppVnet из вашего приложения. Если вы хотите подключиться к VMVnet через AppVnet из своего приложения, вы можете добиться этого путем транзита через шлюз для пиринга виртуальной сети в сетевой архитектуре.

На схеме транзит шлюза позволяет одноранговым виртуальным сетям использовать шлюз Azure VPN в Hub-RM. В этом случае ваш AppVnet - это Hub-RM. Ваше веб-приложение является VPN-клиентом в VPN-соединении P2S.

Я не уверен, что у вас реальная конфигурация на вашей стороне, но я полагаю, что ваше создание соединения Vnet с Vnet похоже на соединение Hub-RM с Spoke-RM на диаграмме, поэтому оно не работает. Настройка пиринга Vnet и транзита шлюза включена, это должно работать. Подробнее о Настройка транзита VPN-шлюза для пиринга виртуальной сети.