Azure App Gateway V2 не может быть настроен с NSG - PullRequest
0 голосов
/ 06 октября 2018

Я подготовил шлюз приложений с WAF V2 SKU.Затем я настроил внутренний пул, чтобы он указывал на WebApp, и добавил ограничения IP-адресов, чтобы разрешить только трафик с WAF IP.Затем я пытаюсь добавить NSG в подготовленную подсеть, чтобы дополнительно ограничить трафик IP-адресом внешнего интерфейса.Я получаю ошибку (см. Ниже).В FAQ по шлюзу приложений это должно быть возможно, но возникают проблемы.Вот подробности ошибки развертывания:

Network security group /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/networkSecurityGroups/BannerCIDRNsg blocks incoming internet traffic on ports 65200 - 65535 to subnet /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/virtualNetworks/dbt-sc-platform-rg/subnets/default, associated with Application Gateway /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/applicationGateways/dbt-sc-appgw. This is not permitted for Application Gateways that have V2 Sku.

1 Ответ

0 голосов
/ 08 октября 2018

В сообщении об ошибке указывается, что вам нужно добавить входящий интернет-трафик через порты 65200 - 65535 к подсети по умолчанию в вашей группе безопасности сети BannerCIDRNsg.

enter image description here

За Часто задаваемые вопросы по Application Gateway , вы можете внести в белый список доступ Application Gateway к нескольким исходным IP-адресам.

Этот сценарий может быть реализован с использованием NSG в подсети Application Gateway.Следующие ограничения должны быть наложены на подсеть в указанном порядке приоритета:

Разрешить входящий трафик из исходного диапазона IP / IP.

Для входящего трафика должны быть включены исключенияпорты 65503-65534 для SKU Application Gateway V1 и порты 65200 - 65535 для SKU V2.Этот диапазон портов необходим для связи инфраструктуры Azure.Они защищены (заблокированы) сертификатами Azure.Без надлежащих сертификатов внешние объекты, в том числе клиенты этих шлюзов, не смогут инициировать какие-либо изменения в этих конечных точках.

Разрешить входящие пробы балансировщика нагрузки Azure (тег AzureLoadBalancer) и входящий трафик виртуальной сети (тег VirtualNetwork) в NSG.

Блокируйте весь другой входящий трафик с помощью правила Запретить все.

Разрешите исходящий трафик в Интернет для всех пунктов назначения.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...