无法使用NSG配置Azure App Gateway V2

Question

我已经为WAF V2 SKU设置了App Gateway。然后，我将后端池配置为指向WebApp，并添加IP限制以仅允许来自WAF IP的流量。然后，我尝试将NSG添加到预配置的子网中，以进一步限制到前端IP地址的流量。我收到一个错误（请参阅下文）。根据Application Gateway FAQ，这应该可行，但是会遇到麻烦。以下是部署错误的详细信息：

Network security group /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/networkSecurityGroups/BannerCIDRNsg blocks incoming internet traffic on ports 65200 - 65535 to subnet /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/virtualNetworks/dbt-sc-platform-rg/subnets/default, associated with Application Gateway /subscriptions/49c19f96-135d-4599-ae34-fd9087ce2bf8/resourceGroups/dbt-sc-platform-rg/providers/Microsoft.Network/applicationGateways/dbt-sc-appgw. This is not permitted for Application Gateways that have V2 Sku.

Answer 1

我想补充@Nancy 的答案，实际上，根据文档，不需要允许来自Any协议的流量。允许 TCP 流量就足够了。

也不需要允许来自Any源的流量，允许来自GatewayManager服务标签的流量就足够了。

对于应用程序网关 v1 SKU，必须允许 TCP 端口 65503-65534 上的传入 Internet 流量；对于 v2 SKU，必须允许 TCP 端口 65200-65535 上的传入 Internet 流量，且目标子网为 Any，源为 GatewayManager 服务标记。Azure 基础结构通信需要此端口范围。

因此，我创建了如下安全规则：

还应该指出的是：

这些端口受 Azure 证书保护（锁定）。外部实体（包括这些网关的客户）无法在这些端点上进行通信。

Answer 2

该错误消息显示您需要添加端口传入的互联网流量65200 - 65535到子网的默认在您的网络安全组BannerCIDRNsg。

根据Application Gateway FAQ，您可以将Application Gateway访问权限列入白名单。

可以使用Application Gateway子网上的NSG完成此方案。应当按照列出的优先级顺序在子网中设置以下限制：

允许来自源IP / IP范围的传入流量。

例外情况必须放在传入流量的端口65503-65534 用于应用网关V1 SKU和端口65200 - 65535为V2 SKU。Azure基础结构通信需要此端口范围。它们受到Azure证书的保护（锁定）。如果没有适当的证书，则包括这些网关的客户在内的外部实体将无法在这些端点上发起任何更改。

在NSG上允许传入的Azure负载平衡器探针（AzureLoadBalancer标记）和入站虚拟网络流量（VirtualNetwork标记）。

使用全部拒绝规则阻止所有其他传入流量。

允许所有目的地的互联网出站流量。