Azure - шлюз приложений без публикации c IP

Question

Я пытаюсь развернуть свое приложение на Azure. В настоящее время у меня развернут шлюз приложений в одной su bnet s1, а в бэкэнд-пуле у меня есть Linux VM. В соответствии с требованием, я не могу использовать любой publi c ip, поэтому я использую только частный ip на Application Gateway. Так как нам нужно соединение inte rnet во время развертывания приложения, я попытался подключить NSG к шлюзу приложений su bnet с разрешенным входящим "Inte rnet". Когда я подключил NSG к шлюзу приложений su bnet, работоспособность сервера показала, что он неработоспособен с ошибкой:

"Невозможно подключиться к серверу. Проверьте, не блокирует ли NSG / UDR / Firewall доступ к серверу. приложение работает на правильном порту. "

Я пытался добавить правила, указанные в документе MSFT https://docs.microsoft.com/en-us/azure/application-gateway/configuration-overview#allow -application-gateway-access-to-Несколько-source-ips , но его не полезно. Итак, мои вопросы:

1. Есть ли что-то еще, что мне нужно добавить в NSG на su bnet шлюза приложений.
2. Это хорошая стратегия, чтобы разрешить доступ inte rnet используя входящее правило на NSG? (Входящее правило -> служебный тег -> Inte rnet). Есть ли другой способ получить доступ к rnet только во время развертывания? PS: мне вообще запрещено использовать publi c IP.

Большое спасибо!

Answer 1

Вы можете развернуть Application Gateway с Publi c IP и Private IP. Все, что вам нужно сделать, это создать прослушиватель с частным IP-адресом Frontend и оставить Publi c IP как таковой.

Поскольку Publi c IP не привязан ни к одному из слушателей, никто не сможет получить доступ к вашему сайту из Inte rnet через Publi c IP вашего шлюза приложений.

Когда AppGW необходимо инициировать исходящий вызов в Inte rnet, он использует этот Publi c IP.

Примечание. Вы не можете использовать только частный IP-адрес в качестве внешнего интерфейса в развертывании V2, и вы можете развернуть шлюз приложений только с частным IP-адресом в SKU V1.