問題タブ [azure-application-gateway]

ゾーン project.local のプライベート DNS ゾーンが設定されています。アプリ サービス環境に存在するアプリ サービス インスタンスの場合、各サービスには、サービスの前にあるロード バランサーを指す独自のレコードがあります (したがって、すべて同じ IP を持ちます)。

これをすべてパブリックに利用できるようにするために、前にパブリック IP にリンクされた App Gateway インスタンスがあります。ゲートウェイはパブリック URL を介して利用でき、リクエストをロード バランサーにルーティングします。

これで、次のことがわかります。

• 外部からは、すべて問題ありません。外部 URL を使用してサービスにアクセスでき、ゲートウェイがそれを転送し、すべて問題ありません。
• 内部からは、プライベート ゾーンに設定された内部DNS アドレスを使用したいと考えています。これは機能していません。サービスからサービスへの呼び出しは、ホスト URL を解決できなかったことを示すエラーをスローします。
• 同じ vNET で VM にログインするか、Kudu コンソールを使用すると、DNS アドレスを正しい IP に解決できます。私が気付いたのは、nslookup を使用すると、信頼できない回答を得ているということです。

デバッグ目的でこれ以上の情報を取得するのは非常に困難です。ドキュメントによると、これらのレコードは同じ vNET 内のすべてのコンポーネントに対して機能するはずなので、解決が機能しない理由はわかりません。正式なエラーが関連している可能性がありますが、繰り返しますが、わかりません。そのため、他に何を確認するかについてのアイデアは高く評価されます。

免責事項: 同じ質問に対するサポート チケットも開いていますが、これは非常に新しい技術であるため、同じ問題に遭遇した可能性のある人が他にいるかどうかを確認するために、これを公開したかったのです。

内部に 3 つの Web アプリ (A、B、C) がデプロイされた外部 App Service Environment (ASE) があります。外部アクセス (インターネットから - P2S/S2S VPN を使用して VNet に接続されている場合にのみアクセスしたい) を 2 つの Web アプリ (A、B) に制限し、もう一方の Web アプリ (C) を制限することは可能ですか? Azure WAF を介してインターネットからパブリックにアクセスできますか? これが可能な場合、NSG の構成はどのようになりますか?

ILB ASE をデプロイできることは理解していますが、デプロイする ASE の数を最小限に抑え、可能であれば 1 つの ASE でこのアクセスの分離を実現したいと考えています。