Ograniczenia usługi Azure Application Gateway - certyfikat Wildcard SSL


Mamy ~ 60 aplikacji klienckich, każda z własnym adresem URL subdomeny we wspólnej domenie, tj. Client1.domainname.com, client2.domainname.com ... - wszystkie objęte jednym szablonem certyfikatu SSL * .domainname.com ... Obecnie hostowane lokalnie z parą LB i dwoma wewnętrznymi hostami IIS używającymi nagłówków hostów dla adresów URL subdomen i powiązań sesji plików cookie.
Musimy przeprowadzić migrację tego środowiska na platformę Azure i użyć Application Gateway. Niestety AG ma poważne ograniczenia.

https://docs.microsoft.com/en- ... imits
https://docs.microsoft.com/en- ... imits
czyli: 
1) HTTP Listeners   20

2) Number of sites  20  1 per HTTP Listeners

3) URL Maps per listener    1

Pytania:
A) w stosunku do # 2, może być domeną wieloznaczną *. nazwa_domeny.com jest traktowana jako 1 witryna/używana w

Nazwa hosta

właściwość definicji detektora?
  • jeśli nie, czy to oznacza, że ​​muszę utworzyć 1 odbiornik dla każdego klienta, tj. HTTPSListener1- & > client1.domainname.com, HTTPSListener2- & > client2.domainname.com i tak dalej
  • [list][*]Jeśli odpowiedź brzmi tak, czy mogę użyć tego samego certyfikatu wieloznacznego * .domainname.com w formacie SslCertificate właściwość wielu detektorów tylko przy zmianie Nazwa hosta pole musi być specyficzne dla klienta (subdomeny)

[/*]
[*]
  • [list][*]jeśli to prawda, oznacza to, że zakładając 20 słuchaczy na limit AG, musiałbym utworzyć 3 oddzielne zestawy AG, aby pasowały do ​​moich 60 subdomen, co oznacza, że ​​poniosę niepotrzebne koszty, aby uruchomić dodatkowe pary AG

[/*]
[/list]
[/*]
[/list]
B) istnieją tylko 2 lokalne węzły serwera, a my wolimy to samo na platformie Azure w celu obniżenia kosztów; Rozumiem, że wiele zestawów AG nie może wskazywać na te same maszyny wirtualne serwera. Czy można obejść ten problem, korzystając z wielu wirtualnych kart sieciowych na maszynę wirtualną i wskazujących różne zestawy AG, tj. Ustaw AG1- & > podstawowy vNIC0, ustaw AG2 - & > dodatkowy vNIC1, ustaw AG3 - & > pomocniczy vNIC2?
Przepraszamy za przesłane pytanie, ale mam nadzieję, że inni uznają ten post za bardzo pomocny, ponieważ szczegółowe informacje na ten temat nie są łatwe do zdobycia.

Przykład odbiornika: 

"httpListeners": [

        {

                "name": "appGatewayHttpsListener1",

                "properties": {

                        "FrontendIPConfiguration": {

                                "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/frontendIPConfigurations/DefaultFrontendPublicIP"

                        },

                        "FrontendPort": {

                                "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/frontendPorts/appGatewayFrontendPort443'"

                        },

                        "Protocol": "Https",

                        "SslCertificate": {

                                "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/sslCertificates/appGatewaySslCert1'"

                        },

                        "HostName": "domainname.com" ,

                        "RequireServerNameIndication": "true"

                }

        },

2021-03-02 Dodaj komentarz
Udostępnij to

Nie znaleziono powiązanych wyników

    Zaproszony:
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    Jeśli dobrze rozumiem twoje pytanie, NIE MUSISZ wskazywać ścieżki dla słuchacza. Zamiast tego możesz użyć jednego globalnego nasłuchiwania, aby objąć całą swoją * .domainę.com. To pomaga?
    2021-03-02 0 0
    Udostępnij to
    Dlaczego jest złożony? 0 odpowiedzi zostało zwiniętych

    Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się

    Polityka prywatności: https://zweryfikowac.pl/Polityka-prywatnosci.pdf
    Copyright © 2023, All Rights Reserved