Partager via


Qu’est-ce qu’Azure Application Gateway v2 ?

Application Gateway v2 est la dernière version d’Application Gateway. Elle offre des avantages par rapport à Application Gateway v1, comme des améliorations de performances, la mise à l’échelle automatique, la redondance de zone et les adresses IP virtuelles statiques.

Important

La dépréciation d’Application Gateway V1 a été annoncée le 28 avril 2023. Si vous utilisez la référence SKU Application Gateway V1, commencez à planifier votre migration vers V2 maintenant et effectuez votre migration vers Application Gateway v2 d’ici le 28 avril 2026. Le service v1 n’est plus pris en charge après cette date.

Fonctionnalités clés

La nouvelle référence SKU v2 comprend les améliorations suivantes :

  • Proxy TCP/TLS (préversion): Azure Application Gateway prend désormais également en charge le proxy de couche 4 (protocole TCP) et TLS (Transport Layer Security). Cette fonctionnalité est actuellement disponible en préversion publique. Pour plus d’informations, consultez Vue d’ensemble du proxy TCP/TLS Application Gateway.

  • Mise à l’échelle automatique : les déploiements d’Application Gateway ou du WAF sous la référence SKU de la mise à l’échelle automatique peuvent augmenter ou diminuer en fonction de l’évolution des modèles de charge du trafic. La mise à l’échelle automatique vous évite aussi d’avoir à choisir une taille de déploiement ou un nombre d’instances au moment du provisionnement. Cette référence SKU offre une véritable élasticité. Dans la référence SKU Standard_v2 et WAF_v2, Application Gateway peut fonctionner à la fois en mode de capacité fixe (mise à l’échelle automatique désactivée) et en mode de mise à l’échelle automatique. Le mode de capacité fixe est utile pour les scénarios avec des charges de travail cohérentes et prévisibles. Le mode de mise à l’échelle automatique est utile dans les applications qui connaissent un trafic variable.

  • Redondance de zone : un déploiement d’Application Gateway ou de WAF peut désormais couvrir plusieurs zones de disponibilité, ce qui évite d’avoir à approvisionner plusieurs instances d’Application Gateway dans chaque zone à l’aide d’une instance Traffic Manager. Vous pouvez choisir une ou plusieurs zones où les instances d’Application Gateway sont déployées, ce qui renforce la résilience en cas d’échec de la zone. Le pool principal pour les applications peut être distribué de la même façon entre les différentes zones de disponibilité.

    La redondance de zone est uniquement disponible où les Zones de disponibilité Azure sont disponibles. Dans les autres régions, toutes les autres fonctionnalités sont prises en charge. Pour plus d’informations, consultez Régions Azure avec prise en charge des zones de disponibilité.

  • Adresse IP virtuelle statique : la référence SKU Application Gateway v2 prend exclusivement en charge le type d’adresse IP virtuelle statique. L’adresse IP virtuelle statique garantit que l’adresse IP virtuelle associée à la passerelle applicative ne change pas pendant le cycle de vie du déploiement, même après un redémarrage. Vous ne devez pas utiliser l’URL de la passerelle applicative pour router le nom de domaine vers App Services via la passerelle applicative, car v1 n’a pas d’adresse IP virtuelle statique.

  • Réécriture d’en-tête : Application Gateway vous permet d'ajouter, de supprimer ou de mettre à jour les en-têtes de requête et de réponse HTTP avec la référence SKU v2. Pour plus d’informations, consultez Réécrire des en-têtes HTTP avec Application Gateway.

  • Intégration dans Key Vault : Application Gateway v2 prend en charge l'intégration dans Key Vault des certificats de serveur associés à des écouteurs HTTPS. Pour plus d'informations, consultez Arrêt de TLS avec des certificats Key Vault.

  • Authentification mutuelle (mTLS) : Application Gateway v2 prend en charge l’authentification des demandes des clients. Pour plus d’informations, consultez Vue d’ensemble de l’authentification mutuelle avec Application Gateway.

  • Contrôleur d'entrée Azure Kubernetes Service : Le contrôleur d’entrée Application Gateway v2 permet l'utilisation d'Azure Application Gateway en tant qu'entrée pour un service Azure Kubernetes Service (AKS) appelé Cluster AKS. Pour plus d’informations, consultez Qu’est-ce que le contrôleur d’entrée Application Gateway.

  • Liaison privée : la référence SKU v2 offre une connectivité privée à partir d’autres réseaux virtuels dans d’autres régions et abonnements en utilisant des points de terminaison privés.

  • Amélioration des performances : la référence SKU v2 offre jusqu’à 5 fois plus de déchargement TLS que la référence SKU Standard/WAF.

  • Déploiement et mise à jour plus rapides : la référence SKU v2 permet un déploiement et une mise à jour plus rapides que la référence SKU standard/WAF. Le délai plus rapide comprend également des changements de configuration WAF.

Diagramme de la zone de mise à l’échelle automatique.

Remarque

Certaines fonctionnalités listées ici dépendent du type de référence SKU.

Types de référence SKU

Application Gateway v2 est disponible sous deux références SKU :

  • De base (préversion) : la référence SKU de base est conçue pour les applications qui ont des exigences de trafic et de contrat SLA inférieures, et qui n’ont pas besoin de fonctionnalités avancées de gestion du trafic. Pour plus d’informations sur l’inscription à la préversion publique de la référence SKU de base d’Application Gateway, consultez S’inscrire à la préversion.
  • Référence SKU Standard_v2 : la référence SKU Standard_v2 est conçue pour les charges de travail de production en cours d’exécution et avec un trafic élevé. Elle comprend également la mise à l’échelle automatique qui peut ajuster automatiquement le nombre d’instances en fonction de vos besoins de trafic.

Le tableau suivant affiche une comparaison entre les références SKU de base et Standard_v2.

Fonctionnalité Fonctionnalités Référence SKU de base (préversion) Référence Standard
Fiabilité CONTRAT SLA 99,9 99,95
Fonctionnalités - de base HTTP/HTTP2/HTTPS
WebSocket
IP publique/privée
Affinité de cookies
Affinité basée sur le chemin
Caractère générique
Multisite
KeyVault
Zone
Réécriture d’en-tête


















Fonctionnalités - avancées AKS (via AGIC)
Réécrire URL
mTLS
Liaison privée
Privé uniquement (préversion)
Proxy TCP/TLS (préversion)





Scale Bande passante connexions par seconde
Nombre d’écouteurs
Nombre de pools de back-ends
Nombre de serveurs de back-end par pool
Nombre de règles
2001
5
5
5
5
625001
100
100
1200
400
Unité de capacité Connexions par seconde par unité de calcul
Débit
Nouvelles connexions persistantes
10
2,22 Mbits/s
2500
50
2,22 Mbits/s
2500

1Estimé en fonction de l’utilisation d’un certificat TLS avec une clé RSA 2048 bits.

Tarification

Avec la référence SKU v2, la consommation détermine le modèle tarifaire, qui ne dépend plus du nombre ou de la taille des instances. Pour plus d’informations, consultez Compréhension de la tarification.

Régions non prises en charge

Actuellement, les références SKU Standard_v2 et WAF_v2 ne sont pas disponibles dans les régions suivantes :

  • Chine orientale
  • Chine du Nord
  • Est des États-Unis – US DoD
  • Centre des États-Unis – US DoD

Effectuer la migration de la version 1 à la version 2

Un script Azure PowerShell est disponible dans la galerie PowerShell pour vous aider à migrer de v1 Application Gateway/WAF vers la référence SKU de mise à l'échelle automatique v2. Ce script vous permet de copier la configuration à partir de votre passerelle v1. La migration de trafic relève toujours de votre responsabilité. Pour plus d’informations, consultez Migrer Azure Application Gateway de la version v1 vers la version v2.

Comparaison des fonctionnalités des références SKU v1 et v2

Le tableau suivant répertorie les fonctionnalités disponibles avec chaque référence SKU.

Fonctionnalité Référence SKU v1 Référence SKU v2
Mise à l’échelle automatique
Redondance de zone
Adresse IP virtuelle statique
Contrôleur d’entrée Azure Kubernetes Service (AKS)
Intégration du coffre de clés Azure
Réécrire les en-têtes HTTP(S)
Contrôle réseau amélioré (groupe de sécurité réseau, table de routage, serveur IP front-end privé uniquement)
Routage basé sur des URL
Hébergement de plusieurs sites
Authentification mutuelle (mTLS)
Une prise Private Link
Redirection du trafic
Pare-feu d’applications web (WAF)
Règles personnalisées WAF
Associations de stratégies WAF
Arrêt de TLS (Transport Layer Security)/SSL (Secure Sockets Layer)
Chiffrement TSL de bout en bout
Affinité de session
Pages d’erreur personnalisées
Prise en charge de WebSocket
Assistance HTTP/2
Vidage des connexions
Authentification NTLM du proxy
Encodage de règle basée sur le chemin d’accès
Chiffrements DHE

Notes

La référence SKU v2 avec mise à l’échelle automatique prend désormais en charge les sondes d’intégrité par défaut afin de superviser automatiquement l’intégrité de toutes les ressources dans son pool principal et de mettre en évidence les membres principaux considérés comme non sains. La sonde d’intégrité par défaut est automatiquement configurée pour les serveurs principaux ne disposant d'aucune configuration de sonde personnalisée. Pour plus d’informations, consultez Sondes d’intégrité dans Application Gateway.

Différences par rapport à la référence SKU v1

Cette section décrit les fonctionnalités et les limitations de la référence (SKU) v2 qui diffèrent de celles de la référence (SKU) v1.

Différence Détails
Combinaison de Standard_v2 et Standard Application Gateway sur le même sous-réseau Non pris en charge
Itinéraire défini par l’utilisateur sur le sous-réseau d’Application Gateway Pour obtenir des informations sur des scénarios pris en charge, voir Présentation de la configuration d’Application Gateway.
Groupe de sécurité réseau pour plage de ports entrants - 65 200 à 65 535 pour référence (SKU) Standard_v2
- 65 503 à 65 534 pour référence (SKU) Standard
Non requis pour les références SKU v2 en préversion publique En savoir plus.
Pour plus d’informations, visitez le FAQ.
Journaux d’activité de performances dans les diagnostics Azure Non pris en charge.
Les métriques Azure doivent être utilisées.
Mode FIPS Non prise en charge.
Mode de configuration front-end privé uniquement Actuellement en préversion publique En savoir plus.
Encodage de règle basée sur le chemin d’accès Non pris en charge.
V2 décode les chemins d’accès avant le routage. Par exemple, V2 traite /abc%2Fdef comme /abc/def.
Transfert de fichiers mémorisés en bloc Dans la configuration Standard_V2, désactivez la mise en mémoire tampon des requêtes pour prendre en charge le transfert de fichiers mémorisés en bloc.
Dans WAF_V2, la désactivation de la mise en mémoire tampon des requêtes n’est pas possible, car il faut examiner l’intégralité de la requête pour détecter et bloquer les menaces. Par conséquent, l’alternative suggérée consiste à créer une règle de chemin d’accès pour l’URL affectée, et à attacher une stratégie WAF désactivée à cette règle de chemin d’accès.
Affinité de cookies La version V2 actuelle ne prend pas en charge l’ajout du domaine dans l’affinité de session Set-Cookie, ce qui signifie que le cookie ne peut pas être utilisé par le client pour les sous-domaines.
Intégration de Microsoft Defender pour le cloud Pas encore disponible.

S’inscrire pour la préversion

Exécutez les commandes Azure CLI suivantes pour vous inscrire à la préversion de la référence SKU de base d’Application Gateway.

Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network 

Se désinscrire de la préversion

Pour vous désinscrire de la préversion publique de la référence SKU de base :

  1. Supprimez toutes les instances de la référence SKU de base d’Application Gateway dans votre abonnement.
  2. Exécutez les commandes suivantes dans l’interface de ligne de commande Azure :
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network 

Étapes suivantes

Selon vos besoins et votre environnement, vous pouvez créer une passerelle Application Gateway test avec le portail Azure, Azure PowerShell ou Azure CLI.