Azure 应用程序网关出站和入站相同静态 IP

来自 Azure 应用程序网关后面的后端服务的出站流量

如果您需要管理来自 Azure 应用程序网关后面的后端服务的出站流量，并要求其源自与入站流量相同的公共 IP 地址，建议使用 NAT 网关。应用程序网关主要用于管理第 7 层的入站流量，本身并不支持所需的出站场景。

出站流量的 NAT 网关：

• 在虚拟网络中部署 NAT 网关。

• 为 NAT 网关分配公共 IP 地址。如果您的体系结构允许，或者您设法构建解决方案以启用此类配置，则这可以与用于应用程序网关的入站流量的公共 IP 地址相同。然而，由于入站和出站流量管理的不同性质，NAT 网关和应用程序网关通常使用单独的公共 IP。

• 配置后端服务所在的子网以使用 NAT 网关进行出站 Internet 连接。这可确保通过 NAT 网关从后端池发出的所有出站连接都经过 SNAT（源网络地址转换）到 NAT 网关的公共 IP。
• 确保网络安全规则、路由表和子网配置正确设置，以允许后端服务通过 NAT 网关进行通信。

要管理出站流量，使其看起来与应用程序网关的入站流量源自同一公共 IP，采用 NAT 网关是一种有效的方法。然而，为入站和出站流量分配相同的公共 IP 可能需要进一步的网络架构规划，并且由于管理入站 HTTP/HTTPS 流量和路由出站流量的不同角色，这种做法并不常见。

参考：

https://learn.microsoft.com/en-us/azure/nat-gateway/nat-overview

https://learn.microsoft.com/en-us/azure/application-gateway/how-application-gateway-works

https://learn.microsoft.com/en-us/azure/application-gateway/configuration-infrastruction