由于 NSG 导致的 Azure 应用程序网关 502 错误
Azure Application Gateway 502 Error due to NSG
我的 VMSS 部署在子网 "APPSubet" 中,我的应用程序网关部署在子网 "appgatewaysubnet" 中,在我的 "APPSubet" 中,我有一个 NSG,它允许来自 PIP 的流量应用程序网关进入 "appsubnet",但我的运行状况探测一直出现错误,提示它无法到达后端。如果我添加一个 NSG 以允许来自任何来源的流量,它就会开始工作。不确定为什么我的初始 NSG 会阻止运行状况探测
您可以检查是否有来自虚拟网络---子网---"APPSubet"或"appgatewaysubnet"的NSG。您还需要检查与应用程序网关子网关联的 NSG。确保与后端的通信未被阻止。参考这个 Troubleshooting bad gateway errors in Application Gateway
对于每个 NSG 规则。您可以使用 5 元组信息(源、源端口、目标、目标端口和协议)按优先级过滤子网或 NIC 级别的网络流量,以允许或拒绝流量。如果允许来自应用程序网关 PIP 的流量,则它只允许来自应用程序网关的初始流量。但实际上,您是从客户端通过应用程序网关访问后端 VMSS。源应该是每个 TCP/UDP 连接的客户端的初始 IP 地址。
请修改 NSG,使其允许来自 Applicaton Gateway 子网的流量 space。运行状况探测由应用程序网关的各个实例发送,它们似乎不是来自 VNet 中的应用程序网关 public VIP。
我的 VMSS 部署在子网 "APPSubet" 中,我的应用程序网关部署在子网 "appgatewaysubnet" 中,在我的 "APPSubet" 中,我有一个 NSG,它允许来自 PIP 的流量应用程序网关进入 "appsubnet",但我的运行状况探测一直出现错误,提示它无法到达后端。如果我添加一个 NSG 以允许来自任何来源的流量,它就会开始工作。不确定为什么我的初始 NSG 会阻止运行状况探测
您可以检查是否有来自虚拟网络---子网---"APPSubet"或"appgatewaysubnet"的NSG。您还需要检查与应用程序网关子网关联的 NSG。确保与后端的通信未被阻止。参考这个 Troubleshooting bad gateway errors in Application Gateway
对于每个 NSG 规则。您可以使用 5 元组信息(源、源端口、目标、目标端口和协议)按优先级过滤子网或 NIC 级别的网络流量,以允许或拒绝流量。如果允许来自应用程序网关 PIP 的流量,则它只允许来自应用程序网关的初始流量。但实际上,您是从客户端通过应用程序网关访问后端 VMSS。源应该是每个 TCP/UDP 连接的客户端的初始 IP 地址。
请修改 NSG,使其允许来自 Applicaton Gateway 子网的流量 space。运行状况探测由应用程序网关的各个实例发送,它们似乎不是来自 VNet 中的应用程序网关 public VIP。