Ich habe das nächste azur Setup:Azure Netzwerk-Sicherheitsgruppe und Application Gateway
Application Gateway Balancer mit einer eigenen vnet.
Zwei vms im Back-End-Pool des Application-Gateways, die über ihr eigenes vnet und eine Netzwerksicherheitsgruppe auf das vms angewendet haben.
Hauptproblem: Wie kann ich die Netzwerksicherheitsgruppe anweisen http/https-Datenverkehr vom Anwendungs-Gateway nur erlauben?
Was ich versucht:
a) hinzugefügt eingehende Regel in Netzwerk-Sicherheitsgruppe mit Source-Tag zu. Funktioniert nicht . Sonden sagen mir, dass die VMs in einem ungesunden Zustand sind.
b) Ich habe die beiden vnets angeschaut und eine Eingangsregel hinzugefügt, die das Quell-Tag VirtualNetwork enthält. Wie oben, Sonden, die mir sagen, dass die vms in einem ungesunden Zustand sind.
c) Ich habe eine Eingangsregel in NSG hinzugefügt, um den Datenverkehr nur von der öffentlichen IP des Anwendungs-Gateways zuzulassen. Dies funktioniert gut, Sonden sehen die vms in einem gesunden Zustand.
Das einzige Problem ist, dass die öffentliche IP-Adresse des Anwendungs-Gateways dynamisch ist und nicht statisch gemacht werden kann.
Also wenn die IP ändern wird meine Regel nicht funktionieren.
Ich bin neugierig, um herauszufinden, wie diese Einrichtung funktioniert.
Alle Beispiele, die ich auf der azure-Dokumentationsseite gesehen habe, sind mit einem einzelnen vnet mit mehreren Subnetzen.
Hallo Jason, mit internen VMs IPs als Back-End-Pool-Mitglieder (nach dem Einrichten von vnet peering) funktioniert. Danke für Ihre Hilfe ! – Claudiu