Azure应用程序网关限制-通配符SSL证书

Question

我们有60个客户端应用程序，每个应用程序都有自己的子域URL在一个公共域，即client1.domainname.com，client2.domainname.com.-所有这些都由一个通配符SSL证书*.domainname.com覆盖。当前在prem上托管一对LBs和2个后端IIS节点，使用主机头作为子域URL和cookie会话关联。

我们需要将这个环境迁移到Azure，并利用Application。不幸的是，AG有一些严重的限制-- https://docs.microsoft.com/en-us/azure/azure-subscription-service-limits?toc=%2fazure%2fapplication-gateway%2ftoc.json#application-gateway-limits，即：

1) HTTP Listeners   20
2) Number of sites  20  1 per HTTP Listeners
3) URL Maps per listener    1

问题：

关于#2，can通配符域*。domainname.com被视为1站点/用于侦听器定义的Hostname属性？

• 如果不是，那是否意味着我需要为每个客户机创建一个侦听器，即HTTPSListener1-> client1.domainname.com，HTTPSListener2->client2.domainname.com等等？
• • 如果答案是“是”，我是否可以在多个侦听器的SslCertificate属性中使用相同的通配符cert *.domainname.com，而只将Hostname字段更改为客户端(子域)特定的？

• • • 如果是这样的话，这意味着，如果每个AG限制有20个侦听器，那么我需要创建3组独立的AGs来适应我的60个子域，这意味着运行额外的AG对将产生不必要的开销。

( B)只有两个后端节点在prem上，为了节省成本，我们更喜欢Azure中的相同节点；我的理解是，多个AG集不能指向相同的后端VM。解决办法是每个VM有多个vNIC2，并指向不同的AG集，即AG1集->vNIC2 0主站、AG2集->vNIC2 1次级、AG3集->vNIC2 2次级？

很抱歉有很多问题，但我希望其他人会发现这篇文章非常有用，因为关于这个话题的详细信息似乎并不容易获得。

侦听器示例：

"httpListeners": [
    {
        "name": "appGatewayHttpsListener1",
        "properties": {
            "FrontendIPConfiguration": {
                "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/frontendIPConfigurations/DefaultFrontendPublicIP"
            },
            "FrontendPort": {
                "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/frontendPorts/appGatewayFrontendPort443'"
            },
            "Protocol": "Https",
            "SslCertificate": {
                "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/sslCertificates/appGatewaySslCert1'"
            },
            "HostName": "domainname.com" ,
            "RequireServerNameIndication": "true"
        }
    },

Answer 1

如果我正确理解了你的问题，你不需要为听者设置路径名。相反，您可以有一个全局侦听器来覆盖整个*.domain.com。这有用吗？