Поделиться через


Что такое Шлюз приложений Azure версии 2?

Шлюз приложений версии 2 — это последняя версия Шлюз приложений. Это обеспечивает преимущества по сравнению с Шлюз приложений версии 1, такими как улучшения производительности, автомасштабирование, избыточность зон и статические IP-адреса.

Внимание

Об отмене Шлюз приложений версии 1 было объявлено 28 апреля 2023 года. Если вы используете номер SKU Шлюз приложений версии 1, начните планирование миграции на версию 2 и завершите миграцию на Шлюз приложений версии 2 к 28 апреля 2026 г. Служба версии 1 не поддерживается после этой даты.

Основные возможности

Номер SKU версии 2 включает следующие улучшения:

  • Прокси-сервер TCP/TLS (предварительная версия): Шлюз приложений Azure теперь также поддерживает прокси-сервер уровня 4 (протокол TCP) и прокси-сервер TLS (транспортный уровень безопасности). Эта функция сейчас доступна в виде общедоступной предварительной версии. Дополнительные сведения см. в Шлюз приложений обзор прокси-сервера TCP/TLS.

  • Автомасштабирование. Шлюз приложений или развертывания WAF в ценовой категории с автомасштабированием будут изменять свой масштаб в соответствии с изменениями в объеме трафика. Кроме того, автоматическое масштабирование позволяет не выбирать размер развертывания или количество экземпляров во время подготовки. Этот SKU дает действительно большую гибкость. В SKU Standard_v2 и WAF_v2 Шлюз приложений может работать как с фиксированной емкостью (отключенным автоматическим масштабированием), так и с включенным автоматическим масштабированием. Режим фиксированной емкости подходит для сценариев с постоянной, предсказуемой рабочей нагрузкой. Режим автоматического масштабирования целесообразно использовать в тех приложениях, где трафик сильно меняется.

  • Избыточность зоны. Развертывание Шлюз приложений или WAF может охватывать несколько Зоны доступности, удаляя необходимость подготовки отдельных экземпляров Шлюз приложений в каждой зоне с Диспетчер трафика. Можно выбрать одну или несколько зон, где развертываются экземпляры Шлюза приложений, и обеспечить большую устойчивость зон к сбоям. Внутренний пул приложений можно аналогичным образом распределить по зонам доступности.

    Избыточность между зонами доступна только там, где доступны Зоны Azure. В других регионах поддерживаются все остальные функции. Дополнительные сведения см. в статье Регионы и Зоны доступности в Azure.

  • Статический ВИРТУАЛЬНЫЙ IP-адрес: Шлюз приложений номер SKU версии 2 поддерживает исключительно статический тип ВИРТУАЛЬНЫх IP-адресов. Статический ВИРТУАЛЬНЫй IP-адрес гарантирует, что виртуальный IP-адрес, связанный с шлюзом приложений, не изменяется для жизненного цикла развертывания даже после перезагрузки. Необходимо использовать URL-адрес шлюза приложений для маршрутизации доменных имен для Служба приложений через шлюз приложений, так как версия 1 не имеет статического IP-адреса.

  • Перезапись заголовков: Шлюз приложений позволяет добавлять, удалять или обновлять заголовки HTTP-запросов и ответов с помощью SKU версии 2. Дополнительные сведения см. в статье Перезапись HTTP-заголовков с помощью Шлюза приложений.

  • Интеграция Key Vault: Шлюз приложений версии 2 поддерживает интеграцию с Key Vault для сертификатов сервера, подключенных к прослушивателям с поддержкой HTTPS. Дополнительные сведения см. в статье о завершении TLS-подключений с использованием сертификатов из Key Vault.

  • Взаимная проверка подлинности (mTLS): Шлюз приложений версии 2 поддерживает проверку подлинности клиентских запросов. Дополнительные сведения см. в разделе "Обзор взаимной проверки подлинности с помощью Шлюз приложений".

  • Служба Azure Kubernetes контроллер входящего трафика: контроллер входящего трафика версии Шлюз приложений версии 2 позволяет использовать Шлюз приложений Azure в качестве входящего трафика для Служба Azure Kubernetes (AKS), известного как кластер AKS. Дополнительные сведения см. в разделе "Что такое Шлюз приложений контроллер входящего трафика".

  • Приватный канал. Номер SKU версии 2 обеспечивает частное подключение из других виртуальных сетей в других регионах и подписках с помощью частных конечных точек.

  • Улучшения производительности. Номер SKU версии 2 обеспечивает более высокую производительность разгрузки TLS до 5X по сравнению с номером SKU standard/WAF.

  • Более быстрое развертывание и обновление. SKU версии 2 обеспечивает более быстрое развертывание и обновление по сравнению со SKU уровня "Стандартный" и WAF. Более быстрое время также включает изменения конфигурации WAF.

Схема зоны с автомасштабированием.

Примечание.

Некоторые из перечисленных здесь возможностей зависят от типа SKU.

Типы SKU

Шлюз приложений версии 2 доступно в двух номерах SKU:

  • Базовый (предварительная версия): SKU уровня " Базовый" предназначен для приложений, имеющих более низкие требования к трафику и соглашения об уровне обслуживания, и не требует расширенных функций управления трафиком. Сведения о регистрации общедоступной предварительной версии номера SKU Шлюз приложений Basic см. в разделе "Регистрация для предварительной версии".
  • Standard_v2 SKU: номер SKU Standard_v2 предназначен для выполнения рабочих нагрузок и высокого трафика. Она также включает автомасштабирование, которое может автоматически настраивать количество экземпляров в соответствии с потребностями трафика.

В следующей таблице показано сравнение между Базовым и Standard_v2.

Функция Возможности Базовый номер SKU (предварительная версия) SKU "Стандартный"
Надежность SLA 99,9 99,95 %
Функциональные возможности — базовые HTTP/HTTP2/HTTPS
WebSocket
Общедоступный и частный IP-адрес
Сходство файлов cookie
Сходство на основе пути
Подстановочный знак
Несколько сайтов
Key Vault
Зона
Перезапись заголовков


















Функциональные возможности — расширенные AKS (через AGIC)
Переопределение URL-адресов
mTLS
Приватный канал
Только приватный (предварительная версия)
Прокси-сервер TCP/TLS (предварительная версия)





Масштабировать Макс. подключения в секунду
Количество прослушивателей
Количество внутренних пулов
Количество внутренних серверов на пул
Количество правил
2001
5
5
5
5
625001
100
100
1200
400
Единица емкости Подключения в секунду на единицу вычислений
Пропускная способность
Постоянные новые подключения
10
2,22 Мбит/с
2500
50
2,22 Мбит/с
2500

1Оценка на основе использования СЕРТИФИКАТА TLS ключа RSA 2048- разрядной версии.

Цены

С номером SKU версии 2 потребление управляет моделью ценообразования и больше не присоединяется к количеству экземпляров или размерам. Дополнительные сведения см. в разделе Основные сведения о ценах.

Неподдерживаемые регионы

В настоящее время номера SKU Standard_v2 и WAF_v2 недоступны в следующих регионах:

  • Восточный Китай
  • Северный Китай
  • Восточный регион US DoD
  • Центральная часть US DoD

Миграция из версии 1 в версию 2

В коллекции PowerShell доступен скрипт Azure PowerShell доступен, который поможет выполнить миграцию из Шлюза приложений или WAF версии 1 в SKU версии 2 с поддержкой автомасштабирования. Этот скрипт поможет скопировать конфигурацию со шлюза версии 1. За миграцию трафика по-прежнему отвечаете вы. Дополнительные сведения см. в статье Миграция Шлюза приложений Azure с версии 1 на версию 2.

Сравнение функций SKU версий 1 и 2

В следующей таблице перечислены функции, доступные в каждом SKU.

Функция SKU версии 1 SKU версии 2
Автомасштабирование
Избыточность между зонами
Статический виртуальный IP-адрес
Контроллер входящего трафика Службы Azure Kubernetes
Интеграция с Azure Key Vault
Перезапись заголовков HTTP(S)
Расширенный сетевой элемент управления (NSG, таблица маршрутов, только внешний IP-адрес частного IP-адреса)
Маршрутизация на основе URL-адреса
Размещение нескольких сайтов
Взаимная проверка подлинности (mTLS)
Поддержка Приватного канала
Перенаправление трафика
Web Application Firewall (WAF)
Настраиваемые правила WAF
Связи политик WAF
Завершение запросов TLS/SSL
Сквозное шифрование TLS
Сходство сеансов
Пользовательские страницы ошибок
Поддержка WebSocket
Поддержка HTTP/2
Сток подключений
Проверка подлинности NTLM прокси-сервера
Кодировка правил на основе пути
Шифры DHE

Примечание.

SKU автомасштабирования версии 2 теперь поддерживает пробы работоспособности по умолчанию для автоматического отслеживания работоспособности всех ресурсов в серверном пуле и выделения этих элементов серверной части, которые считаются неработоспособными. Стандартная проверка работоспособности автоматически настраивается для серверных систем, для которых отсутствует пользовательская конфигурация проверки. Дополнительные сведения см. в статье о проверках работоспособности на шлюзе приложений.

Различия от номера SKU версии 1

В этом разделе описываются функции и ограничения SKU версии 2, отличные от SKU версии 1.

Расхождение Сведения
Смешанное использование Standard_v2 и Шлюза приложений (цен. категория "Стандартный") в той же подсети Не поддерживается
Маршрут, определяемый пользователем в подсети Шлюза приложений Сведения о поддерживаемых сценариях см. в Шлюз приложений обзоре конфигурации.
NSG для диапазона портов входящего трафика – 65200 до 65535 для SKU Standard_v2.
– 65503 до 65534 для SKU (цен. категория "Стандартный").
Дополнительные сведения не требуются для номеров SKU версии 2 в общедоступной предварительной версии.
Дополнительные сведения см. в разделе Часто задаваемые вопросы.
Журналы производительности в системе диагностики Azure Не поддерживается.
Следует использовать метрики Azure.
Режим FIPS В настоящее время не поддерживается.
Только режим настройки частного интерфейса В настоящее время в общедоступной предварительной версии узнайте больше.
Кодировка правил на основе пути Не поддерживается.
Версия 2 декодирует пути перед маршрутизацией. Например, версия 2 обрабатывает /abc%2Fdef то же самое, что /abc/defи .
Передача фрагментированных файлов В конфигурации Standard_V2 отключите буферизацию запросов для поддержки передачи фрагментированных файлов.
В WAF_V2 отключение буферизации запросов невозможно, так как он должен просмотреть весь запрос для обнаружения и блокировки угроз. Поэтому рекомендуемая альтернатива заключается в создании правила пути для затронутого URL-адреса и присоединении отключенной политики WAF к этому правилу пути.
Сходство файлов cookie Текущая версия 2 не поддерживает добавление домена в сеансов сходства Set-Cookie, что означает, что файл cookie не может использоваться клиентом для поддоменов.
Интеграция с Microsoft Defender для облака Пока недоступно.

Зарегистрируйтесь для использования предварительной версии

Выполните следующие команды Azure CLI, чтобы зарегистрировать предварительную версию номера SKU Шлюз приложений Basic.

Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network 

Отмена регистрации предварительной версии

Чтобы отменить регистрацию из общедоступной предварительной версии номера SKU уровня "Базовый", выполните следующие действия.

  1. Удалите все экземпляры номера SKU Шлюз приложений Basic из подписки.
  2. Запустите такие команды интерфейса командной строки Azure:
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network 

Следующие шаги

В зависимости от требований и среды тестовый шлюз приложений можно создать с помощью портала Azure, Azure PowerShell или Azure CLI: