如何使用azure虚拟网络网关私有访问应用网关标准v2 ip？

Question

我需要将我的应用程序托管给有限的可信用户。我使用应用程序网关标准v2作为负载均衡器。我想提供对那些连接到我的vpn的应用程序网关的访问。我创建了网络安全组，并配置了入站规则以限制端口80的公共访问。此外，我还试图为特定用户打开端口80。但我无法将源ip地址范围配置为基于vpn用户的动态范围。

，下面是我尝试过的

1. I尝试将vpn地址池添加为NSG入站规则源地址
2. 我尝试将源标记配置为虚拟网络
3. 我尝试在NSG(应用网关子网)

中配置VPN地址池范围。

但没有运气。如果我硬编码特定的公共ip地址，它就能工作了。我无法为我的vpn用户配置它。

有人能给我提个建议吗？

Answer 1

·我建议您在您可能已配置的Microsoft VPN网关中配置客户端IP地址范围的白名单。由于您正在使用的应用程序网关被配置为用作负载均衡器，而不是IP过滤设备。应用网关具有分配给它的私有IP地址，而VPN网关具有分配给它的公共IP地址，因此连接到VPN网关的用户将被内部重定向到应用程序网关，然后重定向到其后面承载的应用程序，以获得更好的可用性。

请参阅以下截图，以绕过一组通过VPN网关的客户地址池：

​

另外，请检查应用程序网关的NSG允许或绕过的端口范围是否可以通过该端口进行过滤，因为它仅用于仅允许/不允许端口。因此，对于应用程序网关的NSG中的特定端口，为了允许客户地址范围，也可以确保VPN网关公共IP地址的入站端口规则和相应的客户端IP地址池也被允许用于在应用网关侦听器上配置的相应端口，即80或443。

但是建议您在VPN网关配置中配置它们。

​

请参阅以下连结，以参考应用程式网关：

https://learn.microsoft.com/en-us/azure/application-gateway/configuration-infrastructure#allow-access-to-a-few-source-ips