Azure应用程序网关WAF
我正在尝试配置Azure application gateway WAF,使用端口443上的公共IP地址将后端池设置为其他Azure租户中的VM。所有SSL证书都已正确配置。然而,在通过WAF浏览网站时,我不断遇到以下错误Azure应用程序网关WAF,azure,ssl,azure-application-gateway,web-application-firewall,Azure,Ssl,Azure Application Gateway,Web Application Firewall,我正在尝试配置Azure application gateway WAF,使用端口443上的公共IP地址将后端池设置为其他Azure租户中的VM。所有SSL证书都已正确配置。然而,在通过WAF浏览网站时,我不断遇到以下错误 502 - Web server received an invalid response while acting as a gateway or proxy server. 我已经确认NSG位于提到的后端VM上,并且允许端口443上的所有流量。这里可能出了什么问题?通常
502 - Web server received an invalid response while acting as a gateway or proxy server.
我已经确认NSG位于提到的后端VM上,并且允许端口443上的所有流量。这里可能出了什么问题?通常,您可以在应用程序网关的监视中检查
后端运行状况的状态
,并与您这边参考的详细信息进行比较
- NSG、UDR或自定义DNS正在阻止对后端池成员的访问
- 后端VM或虚拟机规模集的实例未响应默认运行状况探测
- 自定义运行状况探测的配置无效或不正确
- Azure应用程序网关的后端池未配置或为空
- 虚拟机规模集中的虚拟机或实例都不正常
- 用户请求的请求超时或连接问题
对于每个原因,您都可以从该链接获得解决方案。我认为您可以确保您可以使用公共IP从一个租户直接访问后端到另一个租户。然后,如果应用网关子网中有NSG,则必须为应用网关v1 SKU的端口65503-65534和v2 SKU的端口65200-65535上的传入流量包含异常。你可以得到更多的细节。您还可以在后端虚拟机的NSG中将app gateway公共IP地址列入白名单。如果您在app gateway使用SSL卸载/终止(这非常常见)。。然后,您需要允许通过端口80(或您使用的任何端口)进行通信。当我给出虚拟机的DNS名称时,该名称再次指向相同的公共IP地址。但是,此处提到的DNS名称必须更改为指向应用程序网关的前端IP地址,因此不确定如何继续。有什么想法吗?当我给出虚拟机的DNS名称时,它再次指向相同的公共IP地址。
虚拟机的DNS名称是什么?听起来好像您为该虚拟机使用了自定义DNS名称,而不是Azure提供的DNS名称,如mytestvmxxx.centralus.cloudapp.Azure.com
。因此,您将自定义DNS名称从映射到VM的公共IP地址更改为前端应用程序GW的PIP。我没有使用VM的DNS名称,我使用的是与SSL证书的CN匹配的网站的DNS名称。此DNS名称指向VM的公共IP地址。当我指向这个名字时,我得到了网关错误。然而,当我指向另一个dns名称时,它是实际dns名称的cname,一切正常。