У меня есть 2 VMSS в лазурном цвете с внутренним LB перед ними. LB имеет правило 443 и зонд для выполнения запроса https с путем запроса, указывающим на конечную точку проверки работоспособности развернутого приложения на масштабируемых наборах. Все стандартные вещи, но загвоздка в том, что мы используем самоподписанный сертификат из нашего экземпляра Hashicorp Vault. Я установил и доверял сертификату корневого центра сертификации на всех виртуальных машинах в масштабируемых наборах. Однако зонд не может найти путь запроса и помечает экземпляр как неработоспособный. Я подозреваю, что зонд не может выполнить запрос https из-за самоподписанного сертификата.
После некоторого поиска я обнаружил, что могу использовать шлюз приложений вместо LB, чтобы включить сквозное шифрование, поскольку AG работает на уровне 7 и позволяет разгрузку SSL. Однако я не могу найти никакой документации о том, как использовать «зонд AG» для автоматического ремонта экземпляра.
Одним из решений может быть включение порта 80 в правиле LB, правиле NSG и обратном прокси-сервере nginx на каждой виртуальной машине (в настоящее время настроено только с прослушиванием 443). Затем зонд может выполнить http / 80 / requestpath, и я ожидаю, что он сработает. Однако это небезопасно и позволит внешнему трафику попадать в веб-приложение через порт 80. Это не вариант.
Есть ли здесь универсальное решение, которое позволяет мне запускать HTTPS только с самоподписанным сертификатом и включать автоматическое восстановление экземпляра? Я могу переключить зонд на использование TCP / 443 вместо HTTPS / 443 / requestpath, но это кажется неадекватным из-за того, что приложение может выйти из строя, но трафик порта 443 работает абсолютно нормально.