azure - 克服 Azure 应用程序网关上的 40 个前端端口限制

Question

• 我们在 ourapp.com 上推出面向客户的应用程序
• Ourapp.com 指向我们的 Azure Web 应用程序防火墙的公共(public) IP
• 我们的每个客户都有两个专用端口用于访问应用程序。
• 所有这些端口都在 49152 到 65535 范围内
• 由于契约(Contract)义务，目前无法更改客户连接的端口，但我们将通过更具扩展性的解决方案来吸引新客户，并在老客户续签契约(Contract)时迁移他们。
• 目前，ourapp.com 指向带有 Web 应用程序防火墙的 Azure 应用程序网关。
• 应用程序网关监听客户连接的端口，并将连接传递到我们后端应用程序服务器的相应池。
• 在应用程序网关中，某些路由规则具有重写规则，可以向请求附加附加 header 。
• 带有 Web 应用程序防火墙的应用程序网关的前端监听端口数限制为 40 个，这意味着每个应用程序网关最多可容纳 20 个客户(其中公开了 2 个端口)
• 我们有超过 20 名客户

我的问题是这样的。我是否可以在维护单一公共(public) URL 的同时将我们的客户群划分为多个应用程序网关？

有关应用程序网关限制的文档:https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/azure-subscription-service-limits#application-gateway-limits

Answer 1

一个公共(public) URL/域只能指向一个公共(public) IP 地址，在您的情况下，该地址会转换为一个应用程序网关。如果您达到了一个 WAF AppGw 的限制，那么您显然需要添加更多。因此，您需要在 AppGw 之上引入其他内容，以接受流量并将其在内部分发到多个 AppGw。

我有一个类似的设置，但在我的情况下，我在 AppGw 上达到了 100 个监听器的限制(我们有 100 个域仅监听 443，但如果您有一个域有 100 个不同的 URL 监听不同的端口)，情况是一样的并通过增加 AppGw 的数量将其拆分为 5 个 AppGw。

由于您正在考虑扩展，因此您需要考虑的是位于 AppGws 之上的某种目标 NAT，用于处理分发。考虑使用 Azure 防火墙，为每个端口创建一个 NAT 规则。我认为需要注意的是，所有 AppGws 都必须监听私有(private) IP(您可以同时配置私有(private) IP 和公共(public) IP)。

两条规则如下所示:

规则1
来源:*
目标地址:防火墙公共(public)IP
目标端口:49152
翻译后的地址:AppGw1私有(private)IP
翻译后的端口:49152

规则2
来源:*
目标地址:防火墙公共(public)IP
目标端口:49154
翻译后的地址:AppGw2私有(private)IP
翻译后的端口:49154

这不是一个完美的解决方案，因为即使是 Azure 防火墙也有一些 limitations (最多 298 个 DNAT 规则，允许您为 149 个客户提供服务)。