gpt4 book ai didi

azure - 克服 Azure 应用程序网关上的 40 个前端端口限制

转载 作者:行者123 更新时间:2023-12-02 06:38:49 24 4
gpt4 key购买 nike

  • 我们在 ourapp.com 上推出面向客户的应用程序
  • Ourapp.com 指向我们的 Azure Web 应用程序防火墙的公共(public) IP
  • 我们的每个客户都有两个专用端口用于访问应用程序。
  • 所有这些端口都在 49152 到 65535 范围内
  • 由于契约(Contract)义务,目前无法更改客户连接的端口,但我们将通过更具扩展性的解决方案来吸引新客户,并在老客户续签契约(Contract)时迁移他们。
  • 目前,ourapp.com 指向带有 Web 应用程序防火墙的 Azure 应用程序网关。
  • 应用程序网关监听客户连接的端口,并将连接传递到我们后端应用程序服务器的相应池。
  • 在应用程序网关中,某些路由规则具有重写规则,可以向请求附加附加 header 。
  • 带有 Web 应用程序防火墙的应用程序网关的前端监听端口数限制为 40 个,这意味着每个应用程序网关最多可容纳 20 个客户(其中公开了 2 个端口)
  • 我们有超过 20 名客户

我的问题是这样的。我是否可以在维护单一公共(public) URL 的同时将我们的客户群划分为多个应用程序网关?

有关应用程序网关限制的文档:https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/azure-subscription-service-limits#application-gateway-limits

最佳答案

一个公共(public) URL/域只能指向一个公共(public) IP 地址,在您的情况下,该地址会转换为一个应用程序网关。如果您达到了一个 WAF AppGw 的限制,那么您显然需要添加更多。因此,您需要在 AppGw 之上引入其他内容,以接受流量并将其在内部分发到多个 AppGw。

我有一个类似的设置,但在我的情况下,我在 AppGw 上达到了 100 个监听器的限制(我们有 100 个域仅监听 443,但如果您有一个域有 100 个不同的 URL 监听不同的端口),情况是一样的并通过增加 AppGw 的数量将其拆分为 5 个 AppGw。

由于您正在考虑扩展,因此您需要考虑的是位于 AppGws 之上的某种目标 NAT,用于处理分发。考虑使用 Azure 防火墙,为每个端口创建一个 NAT 规则。我认为需要注意的是,所有 AppGws 都必须监听私有(private) IP(您可以同时配置私有(private) IP 和公共(public) IP)。

两条规则如下所示:

规则1
来源:*
目标地址:防火墙公共(public)IP
目标端口:49152
翻译后的地址:AppGw1私有(private)IP
翻译后的端口:49152

规则2
来源:*
目标地址:防火墙公共(public)IP
目标端口:49154
翻译后的地址:AppGw2私有(private)IP
翻译后的端口:49154

这不是一个完美的解决方案,因为即使是 Azure 防火墙也有一些 limitations (最多 298 个 DNAT 规则,允许您为 149 个客户提供服务)。

关于azure - 克服 Azure 应用程序网关上的 40 个前端端口限制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67724900/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com