Azure建议不要在集线器网络中部署azure应用网关的原因

Question

作为一个Azure网络的最佳实践

Don't deploy Layer-7 inbound NVAs, such as Azure Application Gateway, as a shared service in the central-hub virtual network. Instead, deploy them together with the application in their respective landing zones.

我不知道背后的原因。

在集线器(共享服务VNET)中部署入站NVA可能在以下方面有所帮助：

• 此VNET可以由有经验的Azure管理员管理，而不是由用户管理。如果用户不正确地配置NVA，管理员可以使用NSG来阻止通信(深度防御)。
• 网络管理员可以在NVA和后端应用程序之间添加另一个NVA，例如流量检查或审计。

Answer 1

基本上，区域Azure应用网关提供了一个可定制的第7层负载平衡解决方案.在配置中，应用程序网关总是部署在虚拟网络子网中。应该在应用程序服务区域附近部署它，以减少延迟。否则，当使用IP地址或主机名时，需要设置VPN连接或虚拟网络窥视来连接后端跨区域服务。这也增加了复杂的网络基础设施，并且常常不灵活地排除故障。

此外，还有对等虚拟网络的约束。一些使用基本负载均衡器的服务(Application Gateway (v1) SKU)不能在全局虚拟网络对等点上工作。