Добавить NSG в подсеть шлюза приложений

Question

Добавить NSG в подсеть шлюза приложений

Мое требование простое. Мне нужно связать NSG с подсетью, содержащей шлюз приложения.

Как только я связываю NSG с этой подсетью, я получаю ошибку тайм-аута соединения.

Согласно документации Microsoft, я добавил исключение для диапазона портов 65503-65534.

С https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-faq

Группы безопасности сети (NSG) поддерживаются в подсети шлюза приложений со следующими ограничениями:
Исключения должны быть введены для входящего трафика через порты 65503-65534 для SKU Application Gateway v1 и порты 65200 - 65535 для SKU v2. Этот диапазон портов необходим для связи инфраструктуры Azure. Они защищены (заблокированы) сертификатами Azure. Без надлежащих сертификатов внешние субъекты, включая клиентов этих шлюзов, не смогут инициировать какие-либо изменения в этих конечных точках.
Исходящее интернет-соединение не может быть заблокировано.
Трафик из тега AzureLoadBalancer должен быть разрешен.

Я что-то пропустил? Любая помощь будет принята с благодарностью.

2

azure azure-application-gateway network-security-groups

Источник

user4844917 28 ноя '18 в 09:14

2 ответа

Решение

Чтобы связать NSG с подсетью, содержащей шлюз приложений, разрешите трафик из

из источника: 'GatewayManager', порт: любой в пункт назначения: сервисный тег 'GatewayManager', порт назначения: 65503-65534
Трафик из тега AzureLoadBalancer с подсетью назначения Any должен быть разрешен.

Также,

Исходящее подключение к Интернету не может быть заблокировано

Ссылка: https://docs.microsoft.com/en-us/azure/application-gateway/configuration-infrastructure#network-security-groups

2

Источник

user8381925 13 янв '21 в 17:51

Другие вопросы по тегам azure azure-application-gateway network-security-groups

user6067741 28 ноя '18 в 09:16 2018-11-28 09:16 · Accepted Answer · 2018-11-28 09:16

Это пример правила исключения шлюза приложений NSG, которое работает для меня:

    {
        "apiVersion": "2017-06-01",
        "name": "NameGoesHere",
        "type": "Microsoft.Network/networkSecurityGroups/securityRules",
        "location": "[resourceGroup().location]",
        "properties": {
            "description": "This rule is needed for application gateway probes to work",
            "protocol": "*",
            "destinationAddressPrefix": "*",
            "sourcePortRange": "*",
            "destinationPortRange": "65503-65534",
            "sourceAddressPrefix": "*",
            "access": "Allow",
            "priority": "literally any priority",
            "direction": "Inbound"
        }
    }

попробуйте добавить nsg с этим правилом в подсеть шлюза приложения, оно будет работать. также убедитесь, что вы явно не блокируете доступ от шлюза приложения к бэкэнду с помощью NSG.