為什么Azure建議不要在集線器網絡中部署azure應用網關

Question

作為Azure Networking 的最佳實踐：

Don't deploy Layer-7 inbound NVAs, such as Azure Application Gateway, as a shared service in the central-hub virtual network. Instead, deploy them together with the application in their respective landing zones.

我想知道背后的原因。

在集線器（共享服務 VNET）中部署入站 NVA 可能有助於：

• 此 VNET 可由經驗豐富的 Azure 管理員而非用戶管理。 如果用戶錯誤配置 NVA，管理員可以使用 NSG 來阻止流量（深度防御）。
• 網絡管理員可以在 NVA 和后端應用程序之間添加另一個 NVA，例如流量檢查或審計。

Answer 1

本質上，區域 Azure 應用程序網關提供了可定制的第 7 層負載平衡解決方案。 從配置來看，應用程序網關始終部署在虛擬網絡子網中。 它應該部署在靠近應用服務區域以減少延遲。 如果沒有，我們需要在使用IP地址或主機名時設置VPN連接或虛擬網絡對等連接后端跨區域服務。 這也增加了復雜的網絡基礎設施，並且通常無法靈活地進行故障排除。

此外， 對等虛擬網絡也存在限制。 某些使用基本負載均衡器的服務（ Application Gateway (v1) SKU ）無法通過全局虛擬網絡對等互連。