Azure应用程序网关限制 – 通配符SSL证书

我们有大约60个客户端应用程序，每个应用程序都有一个通用域中的自己的子域URL，即client1.domainname.com，client2.domainname.com … – 全部由单个通配符SSL证书* .domainname.com覆盖。 目前托pipe与一对LB和2个后端IIS节点使用主机标头的子域URL和cookie会话亲和力。

我们需要将此环境迁移到Azure并使用Application Gateway。 不幸的是，AG有一些严重的限制https://docs.microsoft.com/en-us/azure/azure-subscription-service-limits?toc=%2fazure%2fapplication-gateway%2ftoc.json#application-gateway-limits ，即：

1) HTTP Listeners 20 2) Number of sites 20 1 per HTTP Listeners 3) URL Maps per listener 1 

问题：

A）关于＃2，可以通配域*。 domainname.com被视为1个站点/在Listener定义的Hostname属性中使用？

• nginx-rtmp模块：redirect到一个不同的服务器
• 清漆负载平衡器：规范用户规范后端
• pfSense负载平衡function不起作用（奇怪的方式）
• 思科ACE – 一个与SNAT的武装负载平衡
• Windows 2003networking负载平衡虚拟群集IP在数据中心外不可见

• 如果不是，那么是否意味着我需要为每个客户端创build1个监听器，即HTTPSListener1-> client1.domainname.com，HTTPSListener2-> client2.domainname.com等等？
• • 如果答案是'是'，我可以在多个侦听器的SslCertificate属性中使用相同的通配符证书* .domainname.com，而仅将主机名字段更改为客户端（子域）特定的？
• • • 如果这是真的，那就意味着，如果每个AG限制有20个听众，那么我需要创build3个独立的AG集合以适合我的60个子域名，这意味着我会花费额外的AG对

B）在本地只有2个后端节点，我们更愿意在Azure中节省成本; 我的理解是，多个AG集不能指向相同的后端虚拟机。 解决方法是每个虚拟机具有多个vNIC，并指向不同的AG集，即AG1 set-> vNIC0 primary，AG2 set-> vNIC1 secondary，AG3 set-> vNIC2 secondary？

对不起加载的问题，但我希望其他人会觉得这个post非常有用，因为关于这个主题的详细信息不容易获得。

听众示例：

 "httpListeners": [ { "name": "appGatewayHttpsListener1", "properties": { "FrontendIPConfiguration": { "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/frontendIPConfigurations/DefaultFrontendPublicIP" }, "FrontendPort": { "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/frontendPorts/appGatewayFrontendPort443'" }, "Protocol": "Https", "SslCertificate": { "Id": "/subscriptions/<subid>/resourceGroups/<rgName>/providers/Microsoft.Network/applicationGateways/applicationGateway1/sslCertificates/appGatewaySslCert1'" }, "HostName": "domainname.com" , "RequireServerNameIndication": "true" } },