Добавить NSG в подсеть шлюза приложений

Мое требование простое. Мне нужно связать NSG с подсетью, содержащей мой шлюз приложений.

Как только я связываю NSG с этой подсетью, я получаю ошибку тайм-аута подключения.

Согласно документации Microsoft, я добавил исключение для диапазона портов 65503-65534.

Из https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-faq

Группы безопасности сети (NSG) поддерживаются в подсети шлюза приложений со следующими ограничениями:

Необходимо добавить исключения для входящего трафика на порты 65503-65534 для SKU шлюза приложений v1 и порты 65200–65535 для SKU v2. Этот диапазон портов необходим для связи инфраструктуры Azure. Они защищены (заблокированы) сертификатами Azure. Без надлежащих сертификатов внешние объекты, включая клиентов этих шлюзов, не смогут инициировать какие-либо изменения на этих конечных точках.

Исходящее подключение к Интернету нельзя заблокировать.

Трафик от тега AzureLoadBalancer должен быть разрешен.

Я что-то упускаю? Любая помощь будет принята с благодарностью.


azure azure-application-gateway network-security-groups
person Praveen    schedule 28.11.2018    source источник

Ответы (2)


arrow_upward
1
arrow_downward

это пример правила исключения шлюза приложений NSG, которое мне подходит:

    {
        "apiVersion": "2017-06-01",
        "name": "NameGoesHere",
        "type": "Microsoft.Network/networkSecurityGroups/securityRules",
        "location": "[resourceGroup().location]",
        "properties": {
            "description": "This rule is needed for application gateway probes to work",
            "protocol": "*",
            "destinationAddressPrefix": "*",
            "sourcePortRange": "*",
            "destinationPortRange": "65503-65534",
            "sourceAddressPrefix": "*",
            "access": "Allow",
            "priority": "literally any priority",
            "direction": "Inbound"
        }
    }

попробуйте добавить nsg с этим правилом в подсеть шлюза приложений, это сработает. Кроме того, убедитесь, что вы явно не блокируете доступ от шлюза приложений к серверной части с вашей NSG.

person 4c74356b41    schedule 28.11.2018
comment
Я проделал то же самое вручную. Я разрешил указанный диапазон портов. нет другого правила, которое я применил. - person Praveen; 28.11.2018
comment
Я не знаю, что случилось. Я отделил подсеть от NSG и связал ее. Работает. - person Praveen; 28.11.2018

arrow_upward
0
arrow_downward

Чтобы связать NSG с подсетью, содержащей шлюз приложений, разрешите трафик от

  1. от источника: 'GatewayManager', порт: любой в пункт назначения: служебный тег 'GatewayManager', порт назначения: 65503-65534
  2. Трафик из тега AzureLoadBalancer с целевой подсетью Any должен быть разрешен.

Также,

  1. Исходящее подключение к Интернету не может быть заблокировано

Ссылка: https://docs.microsoft.com/en-us/azure/application-gateway/configuration-infrastructure#network-security-groups

person vibhore miglani    schedule 13.01.2021