Co to jest aplikacja systemu Azure Gateway w wersji 2?
Usługa Application Gateway w wersji 2 to najnowsza wersja usługi Application Gateway. Zapewnia ona zalety usługi Application Gateway w wersji 1, takie jak ulepszenia wydajności, skalowanie automatyczne, nadmiarowość strefy i statyczne adresy VIP.
Ważne
Wycofanie usługi Application Gateway v1 zostało ogłoszone 28 kwietnia 2023 r. Jeśli używasz jednostki SKU usługi Application Gateway w wersji 1, rozpocznij planowanie migracji do wersji 2 i zakończ migrację do usługi Application Gateway w wersji 2 do 28 kwietnia 2026 r. Usługa w wersji 1 nie jest obsługiwana po tej dacie.
Najważniejsze możliwości
Jednostka SKU w wersji 2 obejmuje następujące ulepszenia:
Serwer proxy TCP/TLS (wersja zapoznawcza): brama aplikacja systemu Azure obsługuje teraz również obsługę serwera proxy warstwy 4 (tcp) i protokołu TLS (Transport Layer Security). Ta funkcja jest obecnie w publicznej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Application Gateway TCP/TLS proxy overview (Omówienie serwera proxy TCP/TLS usługi Application Gateway).
Skalowanie automatyczne: wdrożenia usługi Application Gateway lub zapory aplikacji internetowej w ramach jednostki SKU skalowania automatycznego mogą być skalowane w poziomie lub w oparciu o zmieniające się wzorce obciążenia ruchu. Dzięki skalowaniu automatycznemu nie trzeba również wybierać rozmiaru wdrożenia ani liczby wystąpień podczas aprowizowania usługi. Ta jednostka SKU zapewnia prawdziwą elastyczność. W przypadku jednostki SKU Standard_v2 i WAF_v2 usługa Application Gateway może działać zarówno w trybie stałej pojemności (z wyłączonym skalowaniem automatycznym), jak i w trybie z włączonym skalowaniem automatycznym. Tryb stałej pojemności jest przydatny w scenariuszach ze spójnymi i przewidywalnymi obciążeniami. Tryb skalowania automatycznego jest korzystny w przypadku aplikacji, w których występują wariancje ruchu aplikacji.
Nadmiarowość stref: wdrożenie usługi Application Gateway lub zapory aplikacji internetowej może obejmować wiele Strefy dostępności, co powoduje usunięcie konieczności aprowizacji oddzielnych wystąpień usługi Application Gateway w każdej strefie za pomocą usługi Traffic Manager. Możesz wybrać jedną strefę lub wiele stref, w których wdrożono wystąpienia usługi Application Gateway, co sprawia, że jest bardziej odporny na awarie strefy. Pula zaplecza dla aplikacji może być podobnie dystrybuowana w różnych strefach dostępności.
Nadmiarowość strefy jest dostępna tylko wtedy, gdy są dostępne strefy dostępności platformy Azure. W innych regionach obsługiwane są wszystkie inne funkcje. Aby uzyskać więcej informacji, zobacz Regiony platformy Azure z obsługą stref dostępności.
Statyczny adres VIP: jednostka SKU usługi Application Gateway w wersji 2 obsługuje wyłącznie statyczny typ adresu VIP. Statyczny adres VIP zapewnia, że adres VIP skojarzony z bramą aplikacji nie zmienia się w cyklu życia wdrożenia, nawet po ponownym uruchomieniu. Adres URL bramy aplikacji należy użyć do routingu nazw domen do usług App Services za pośrednictwem bramy aplikacji, ponieważ wersja 1 nie ma statycznego adresu VIP.
Ponowne zapisywanie nagłówka: usługa Application Gateway umożliwia dodawanie, usuwanie lub aktualizowanie nagłówków żądań HTTP i odpowiedzi przy użyciu jednostki SKU w wersji 2. Aby uzyskać więcej informacji, zobacz Ponowne zapisywanie nagłówków HTTP za pomocą usługi Application Gateway
Integracja z usługą Key Vault: usługa Application Gateway w wersji 2 obsługuje integrację z usługą Key Vault dla certyfikatów serwera dołączonych do odbiorników z obsługą protokołu HTTPS. Aby uzyskać więcej informacji, zobacz Zakończenie szyfrowania TLS z certyfikatami usługi Key Vault.
Uwierzytelnianie wzajemne (mTLS): usługa Application Gateway w wersji 2 obsługuje uwierzytelnianie żądań klientów. Aby uzyskać więcej informacji, zobacz Omówienie wzajemnego uwierzytelniania za pomocą usługi Application Gateway.
Kontroler ruchu przychodzącego usługi Azure Kubernetes Service: kontroler ruchu przychodzącego usługi Application Gateway w wersji 2 umożliwia użycie bramy aplikacja systemu Azure jako ruchu przychodzącego dla usługi Azure Kubernetes Service (AKS) znanej jako klaster usługi AKS. Aby uzyskać więcej informacji, zobacz Co to jest kontroler ruchu przychodzącego usługi Application Gateway.
Link prywatny: jednostka SKU w wersji 2 oferuje prywatną łączność z innych sieci wirtualnych w innych regionach i subskrypcjach przy użyciu prywatnych punktów końcowych.
Ulepszenia wydajności: jednostka SKU w wersji 2 oferuje maksymalnie 5 razy lepszą wydajność odciążania protokołu TLS w porównaniu do jednostki SKU w warstwie Standardowa/WAF.
Krótszy czas wdrażania i aktualizacji: jednostka SKU w wersji 2 zapewnia szybsze wdrażanie i czas aktualizacji w porównaniu do jednostki SKU standardowej/zapory aplikacji internetowej. Krótszy czas obejmuje również zmiany konfiguracji zapory aplikacji internetowej.
Uwaga
Niektóre z wymienionych tutaj możliwości zależą od typu jednostki SKU.
Typy jednostek SKU
Usługa Application Gateway w wersji 2 jest dostępna w dwóch jednostkach SKU:
- Podstawowa (wersja zapoznawcza): Podstawowa jednostka SKU jest przeznaczona dla aplikacji, które mają niższe wymagania dotyczące ruchu i umowy SLA i nie wymagają zaawansowanych funkcji zarządzania ruchem. Aby uzyskać informacje na temat rejestrowania w publicznej wersji zapoznawczej jednostki SKU usługi Application Gateway w warstwie Podstawowa, zobacz Rejestrowanie w celu uzyskania wersji zapoznawczej.
- jednostka SKU Standard_v2: jednostka SKU Standard_v2 została zaprojektowana pod kątem uruchamiania obciążeń produkcyjnych i dużego ruchu. Obejmuje również skalowanie automatyczne, które może automatycznie dostosować liczbę wystąpień w celu dopasowania ich do potrzeb ruchu.
W poniższej tabeli przedstawiono porównanie między Standard_v2 a podstawową.
Funkcja | Możliwości | Podstawowa jednostka SKU (wersja zapoznawcza) | Standardowy SKU |
---|---|---|---|
Niezawodność | SLA | 99,9 | 99,95 |
Funkcjonalność — podstawowa | HTTP/HTTP2/HTTPS Protokół WebSocket Publiczny/prywatny adres IP Koligacja plików cookie Koligacja oparta na ścieżkach Symbole wieloznaczne Wiele lokacji KeyVault Strefa Ponowne zapisywanie nagłówka |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
Funkcje — zaawansowane | AKS (za pośrednictwem AGIC) Regenerowanie adresów URL mTLS Private Link Tylko prywatny (wersja zapoznawcza) Serwer proxy TCP/TLS (wersja zapoznawcza) |
✓ ✓ ✓ ✓ ✓ ✓ |
|
Skaluj | Maks. połączenia na sekundę Liczba odbiorników Liczba pul zaplecza Liczba serwerów zaplecza na pulę Liczba reguł |
2001 5 5 5 5 |
625001 100 100 1200 400 |
Jednostka wydajności | Połączenia na sekundę na jednostkę obliczeniową Produktywność Trwałe nowe połączenia |
10 2,22 Mb/s 2500 |
50 2,22 Mb/s 2500 |
1Szacowane na podstawie użycia certyfikatu TLS klucza RSA 2048-bitowego.
Cennik
W przypadku jednostki SKU w wersji 2 użycie napędza model cen i nie jest już dołączone do liczby wystąpień ani rozmiarów. Aby dowiedzieć się więcej, zobacz Opis cen.
Nieobsługiwane regiony
Obecnie jednostki SKU Standard_v2 i WAF_v2 nie są dostępne w następujących regionach:
- Chiny Wschodnie
- Chiny Północne
- US DOD East
- US DOD Central
Migrowanie z wersji 1 do wersji 2
Skrypt programu Azure PowerShell jest dostępny w galerii programu PowerShell, aby ułatwić migrację z usługi Application Gateway/zapory aplikacji internetowej w wersji 1 do jednostki SKU skalowania automatycznego w wersji 2. Ten skrypt ułatwia skopiowanie konfiguracji z bramy w wersji 1. Migracja ruchu jest nadal twoim zadaniem. Aby uzyskać więcej informacji, zobacz Migrowanie bramy aplikacja systemu Azure z wersji 1 do wersji 2.
Porównanie funkcji między jednostkami SKU w wersji 1 i 2
W poniższej tabeli porównaliśmy funkcje dostępne dla każdej jednostki SKU.
Funkcja | Jednostka SKU w wersji 1 | Jednostka SKU w wersji 2 |
---|---|---|
Skalowanie automatyczne | ✓ | |
Nadmiarowość stref | ✓ | |
Statyczny adres VIP | ✓ | |
Kontroler ruchu przychodzącego usługi Azure Kubernetes Service (AKS) | ✓ | |
Integracja magazynu kluczy Azure | ✓ | |
Ponowne zapisywanie nagłówków HTTP(S) | ✓ | |
Rozszerzona kontrola sieci (sieciowa grupa zabezpieczeń, tabela tras, tylko fronton prywatnych adresów IP) | ✓ | |
Routing oparty na adresach URL | ✓ | ✓ |
Hostowanie wielu witryn | ✓ | ✓ |
Uwierzytelnianie wzajemne (mTLS) | ✓ | |
Obsługa usługi Private Link | ✓ | |
Przekierowywanie ruchu | ✓ | ✓ |
Zapora aplikacji internetowej | ✓ | ✓ |
Reguły niestandardowe zapory aplikacji internetowej | ✓ | |
Skojarzenia zasad zapory aplikacji internetowej | ✓ | |
Kończenie żądań protokołu Transport Layer Security (TLS)/Secure Sockets Layer (SSL) | ✓ | ✓ |
Kompleksowe szyfrowanie TLS | ✓ | ✓ |
Koligacja sesji | ✓ | ✓ |
Niestandardowe strony błędów | ✓ | ✓ |
Obsługa protokołu WebSocket | ✓ | ✓ |
Obsługa protokołu HTTP/2 | ✓ | ✓ |
Opróżnianie połączeń | ✓ | ✓ |
Uwierzytelnianie NTLM serwera proxy | ✓ | |
Kodowanie reguły opartej na ścieżkach | ✓ | |
Szyfry DHE | ✓ |
Uwaga
Jednostka SKU skalowania automatycznego w wersji 2 obsługuje teraz domyślne sondy kondycji, aby automatycznie monitorować kondycję wszystkich zasobów w puli zaplecza i wyróżniać te elementy członkowskie zaplecza, które są uznawane za w złej kondycji. Domyślna sonda kondycji jest automatycznie konfigurowana dla zapleczy, które nie mają żadnej niestandardowej konfiguracji sondy. Aby dowiedzieć się więcej, zobacz Sondy kondycji w usłudze Application Gateway.
Różnice między jednostkami SKU w wersji 1
W tej sekcji opisano funkcje i ograniczenia jednostki SKU w wersji 2, które różnią się od jednostki SKU w wersji 1.
Różnica | Szczegóły |
---|---|
Mieszanie Standard_v2 i usługi Application Gateway w warstwie Standardowa w tej samej podsieci | Nieobsługiwane |
Trasa zdefiniowana przez użytkownika (UDR) w podsieci usługi Application Gateway | Aby uzyskać informacje na temat obsługiwanych scenariuszy, zobacz Omówienie konfiguracji usługi Application Gateway. |
Sieciowa grupa zabezpieczeń dla zakresu portów wejściowych | - 65200 do 65535 dla jednostki SKU Standard_v2 - 65503 do 65534 dla jednostki SKU w warstwie Standardowa. Nie są wymagane dla jednostek SKU w wersji 2 w publicznej wersji zapoznawczej Dowiedz się więcej. Aby uzyskać więcej informacji, zobacz często zadawane pytania. |
Dzienniki wydajności w diagnostyce platformy Azure | Nieobsługiwane. Należy użyć metryk platformy Azure. |
Tryb FIPS | Obecnie nieobsługiwane. |
Tryb konfiguracji frontonu prywatnego | Obecnie w publicznej wersji zapoznawczej Dowiedz się więcej. |
Kodowanie reguły opartej na ścieżkach | Nieobsługiwane. W wersji 2 dekoduje ścieżki przed routingiem. Na przykład wersja V2 traktuje /abc%2Fdef to samo, co /abc/def . |
Fragmentowany transfer plików | W konfiguracji Standard_V2 wyłącz buforowanie żądań w celu obsługi fragmentowanego transferu plików. W WAF_V2 wyłączenie buforowania żądań nie jest możliwe, ponieważ musi przyjrzeć się całemu żądaniu wykrywania i blokowania wszelkich zagrożeń. Dlatego sugerowaną alternatywą jest utworzenie reguły ścieżki dla adresu URL, której dotyczy problem, i dołączenie wyłączonych zasad zapory aplikacji internetowej do tej reguły ścieżki. |
Koligacja plików cookie | Bieżąca wersja 2 nie obsługuje dołączania domeny w koligacji sesji Set-Cookie, co oznacza, że plik cookie nie może być używany przez klienta dla poddomen. |
integracja Microsoft Defender dla Chmury | Jeszcze nie jest dostępny. |
Zarejestruj się w celu uzyskania wersji zapoznawczej
Uruchom następujące polecenia interfejsu wiersza polecenia platformy Azure, aby zarejestrować się w celu uzyskania wersji zapoznawczej jednostki SKU usługi Application Gateway w warstwie Podstawowa.
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Wyrejestrowywanie podglądu
Aby wyrejestrować się z publicznej wersji zapoznawczej jednostki SKU w warstwie Podstawowa:
- Usuń wszystkie wystąpienia jednostki SKU usługi Application Gateway w warstwie Podstawowa z subskrypcji.
- Uruchom następujące polecenia interfejsu wiersza polecenia platformy Azure:
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Następne kroki
W zależności od wymagań i środowiska możesz utworzyć testową usługę Application Gateway przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.