Добавить NSG в подсеть шлюза приложений

Question

Мое требование простое.Мне нужно связать NSG с подсетью, содержащей шлюз приложения.

Как только я связываю NSG с этой подсетью, я получаю сообщение об ошибке истечения времени ожидания соединения.

Согласно документации Microsoft, я добавилисключение для диапазона портов 65503-65534.

С https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-faq

Группы безопасности сети (NSG) поддерживаются в подсети шлюза приложения со следующими ограничениями:

Исключения должны быть вставлены для входящего трафика через порты 65503-65534 для SKU Application Gateway v1 и порты 65200 - 65535 для SKU v2.Этот диапазон портов необходим для связи инфраструктуры Azure.Они защищены (заблокированы) сертификатами Azure.Без надлежащих сертификатов внешние объекты, включая клиентов этих шлюзов, не смогут инициировать какие-либо изменения на этих конечных точках.

Исходящее подключение к Интернету не может быть заблокировано.

Трафик отТег AzureLoadBalancer должен быть разрешен.

Я что-то упустил?Любая помощь будет принята с благодарностью.

Answer 1

Это пример правила исключения шлюза приложений nsg, которое работает для меня:

    {
        "apiVersion": "2017-06-01",
        "name": "NameGoesHere",
        "type": "Microsoft.Network/networkSecurityGroups/securityRules",
        "location": "[resourceGroup().location]",
        "properties": {
            "description": "This rule is needed for application gateway probes to work",
            "protocol": "*",
            "destinationAddressPrefix": "*",
            "sourcePortRange": "*",
            "destinationPortRange": "65503-65534",
            "sourceAddressPrefix": "*",
            "access": "Allow",
            "priority": "literally any priority",
            "direction": "Inbound"
        }
    }

попробуйте добавить nsg с этим правилом в подсеть шлюза приложений, оно будет работать.также убедитесь, что вы явно не блокируете доступ от шлюза приложения к бэкэнду с помощью NSG.