这些假设是: 1.来自Azure Front Door的传入流量通过端口80 HTTP或443 HTTP。如果需要,请更新端口或使用“任意”。 1.我在应用程序网关后配置了Azure Kubernetes服务作为应用程序网关入口控制器(AGIC),因此目标是VirtualNetwork。同样,根据您的特定方案,您可以更新它或将其保留为“任意”。 这里也是Azure目录中的一个完整的GitHub代码示例。
评论中的问题:
我不明白这是如何阻止FD以外的任何人通过AG的公共IP地址访问AKS应用程序的。你能澄清一下吗?@AndyMoose NSG rules work as follows:根据规则优先级,系统将根据NSG规则评估传入请求。如果请求与NSG规则匹配,则NSG规则将应用其活动(允许或拒绝)。如果请求与规则不匹配,则它将评估下一个规则。例如: 如果您或任何人尝试访问Azure应用程序网关(agw)公共IP(pip),它将检查NSG规则,如下所示:
2条答案
按热度按时间woobm2wo1#
我已从Microsoft Azure支持部门获得答案。我需要添加网络安全组(NSG)并将应用程序网关子网链接到它。NSG入站规则:
来源:服务标签
源服务标签:AzureFrontDoor.Backend
源端口范围:*
目的地:任何
目标端口范围:*
方案:任何
操作:允许
优先级:200
来源:服务标签
源服务标签:网关管理器
源端口范围:*
目的地:任何
目标端口范围:65200-65535
方案:任何
操作:允许
优先级:300
来源:服务标签
源服务标签:虚拟网络
源端口范围:*
目的地:任何
目标端口范围:*
方案:任何
操作:允许
优先级:400
来源:服务标签
源服务标签:Azure负载平衡器
源端口范围:*
目的地:任何
目标端口范围:*
方案:任何
操作:允许
优先级:500
来源:任何
源端口范围:*
目的地:任何
目标端口范围:*
方案:任何
操作:拒绝
优先级:600
Here's how my NSG looks like
bwleehnv2#
Microsoft文档中列出了您需要的附加到App Gateway子网的N网络S安全G组规则:
Azure CLI示例:
这些假设是:
1.来自Azure Front Door的传入流量通过端口80 HTTP或443 HTTP。如果需要,请更新端口或使用“任意”。
1.我在应用程序网关后配置了Azure Kubernetes服务作为应用程序网关入口控制器(AGIC),因此目标是VirtualNetwork。同样,根据您的特定方案,您可以更新它或将其保留为“任意”。
这里也是Azure目录中的一个完整的GitHub代码示例。
评论中的问题:
我不明白这是如何阻止FD以外的任何人通过AG的公共IP地址访问AKS应用程序的。你能澄清一下吗?@AndyMoose
NSG rules work as follows:根据规则优先级,系统将根据NSG规则评估传入请求。如果请求与NSG规则匹配,则NSG规则将应用其活动(允许或拒绝)。如果请求与规则不匹配,则它将评估下一个规则。例如:
如果您或任何人尝试访问Azure应用程序网关(agw)公共IP(pip),它将检查NSG规则,如下所示: