مميزات «بوابة تطبيق» Azure
إن«بوابة تطبيق» Azure هي موازن تحميل نسبة استخدام الشبكة على الويب التي تتيح لك إدارة نسبة استخدام الشبكة إلى تطبيقات الويب الخاصة بك.
إشعار
بالنسبة لأحمال عمل الويب، نوصي بشدة باستخدام حماية Azure DDoS وجدار حماية تطبيق الويب للحماية من هجمات DDoS الناشئة. خيار آخر هو استخدام Azure Front Door جنبا إلى جنب مع جدار حماية تطبيق الويب. يوفر Azure Front Door حماية على مستوى النظام الأساسي ضد هجمات DDoS على مستوى الشبكة. لمزيد من المعلومات، راجع أساس الأمان لخدمات Azure.
تتضمن Application Gateway الميزات التالية:
إنهاء طبقة مآخذ التوصيل الآمنة (SSL/TLS)
تدعم بوابة التطبيق إنهاء بروتوكول أمان طبقة النقل/طبقة مآخذ توصيل آمنة عند البوابة، وبعدها تتدفق نسبة استخدام الشبكة عادة غير مشفرة إلى خوادم الخلفية. تسمح هذه الميزة لخوادم الويب أن تكون خالية من الأحمال من تكاليف عمليات التشفير وفك التشفير المكلّفة. ولكن في بعض الأحيان لن يكون الاتصال غير المشفر بالخوادم خيارًا مقبولاً. قد يرجع ذلك إلى أن متطلبات الأمان أو متطلبات التوافق أو التطبيق قد يقبل الاتصال الآمن فقط. بالنسبة لهذه التطبيقات، تدعم بوابة التطبيق التشفير الشامل لبروتوكول أمان طبقة النقل/طبقة مآخذ توصيل آمنة.
لمزيد من المعلومات، انظر النظرة العامة حول إنهاء طبقة مآخذ توصيل آمنة وإنهاء طبقة مآخذ توصيل آمنة باستخدام «بوابة التطبيق»
التحجيم التلقائي
تدعم «بوابة التطبيق القياسية» _v2 تغيير الحجم التلقائي ويمكن تكبير الحجم أو تصغيره على أساس تغيير أنماط تحميل نسبة استخدام الشبكة. يزيل التحجيم التلقائي أيضاً متطلبات اختيار حجم توزيع أو عدد مثيلات أثناء التزويد.
لمزيد من المعلومات حول ميزات Standard_v2 Application Gateway، راجع ما هو Azure Application Gateway v2.
التكرار في المنطقة
يمكن أن تغطي «بوابة التطبيق القياسية _v2» عدة مناطق توافر، مما يوفر مرونة أفضل للخطأ وإزالة الحاجة إلى تزويد «بوابات تطبيق» منفصلة في كل منطقة.
VIP ثابت
تدعم «بوابة التطبيق القياسية_v2 وحدة حفظ المخزون» نوع الـ VIP الثابت على وجه الحصر. وهذا يضمن أن VIP المقترنة بعبارة التطبيق لا تتغير حتى على مدى عمر Application Gateway.
جدار حماية تطبيق الويب
إن «جدار حماية تطبيقات الويب» خدمة لتوفير حماية مركزية لتطبيقات الويب الخاصة بك من الاستغلالات ونقاط الضعف الشائعة. يستند جدار حماية تطبيق الويب على قواعد من مجموعة قواعد الـ OWASP (مشروع أمان تطيبق الويب المفتوح) الأساسية 3.1 (جدار حماية تطبيق الويب_v2 فقط) و 3.0 و 2.2.9.
تعتبر تطبيقات الويب أهداف متزايدة للهجمات الضارة التي تستغل نقاط الضعف المعروفة والشائعة. إن الشائع من بين محاولات الاختراق هي حقنة هجوم SQL، وهجمات لبرنامج نصي عبر الموقع على سبيل المثال لا الحصر. قد يكون منع مثل هذه الهجمات في رمز التطبيق صعبًا، وقد يتطلب صيانة صارمة، وتصحيح ورصد على طبقات متعددة من مخطط التطبيق. يزيد جدار حماية تطبيق الويب المركزي من بساطة إدارة الأمان ويعطي ضمانًا أفضل لمسؤولي التطبيقات في مواجهة التهديدات أو الاختراقات. يمكن أن يتفاعل حل جدار حماية تطبيق الويب WAF أيضًا مع تهديد أمني بشكل أسرع عن طريق تصحيح ثغرة أمنية معروفة في موقع مركزي في مقابل تأمين كل تطبيق من تطبيقات الويب. يمكن تحويل بوابات التطبيق الموجودة إلى بوابة تطبيق يُمكّن فيها جدار حماية تطبيق الويب بسهولة.
راجع حماية تطبيق DDoS للحصول على إرشادات حول كيفية استخدام Azure WAF مع Application Gateway للحماية من هجمات DDoS. لمزيد من المعلومات، راجع ما هو Azure Web Application Firewall.
وحدة التحكم في الدخول لـ AKS
تسمح خدمة وحدة التحكم في الدخول في بوابة التطبيق باستخدام Azure Application Gateway كمدخل لمجموعة خدمة Azure Kubernetes (AKS).
يتم تشغيل وحدة تحكم الدخول كجراب داخل مجموعة AKS وتستهلك موارد إدخال Kubernetes وتحويلها إلى تكوينٍ لبوابة التطبيق، مما يسمح للبوابة بموازنة تحميل نسبة استخدام الشبكة إلى جراب Kubernetes. تدعم وحدة تحكم الدخول فقط بوابة التطبيق القياسية _v2 ووحدات حفظ المخزون لجدار حماية بوابة التطبيق WAF_v2.
لمزيد من المعلومات، راجع التحكم في إدخال بوابة التطبيق (AGIC).
التوجيه المستند إلى URL
يسمح لك التوجيه المستند إلى مسار URL بتوجيه نسبة استخدام الشبكة إلى تجمعات خوادم الواجهة الخلفية استنادا إلى مسارات عنوان URL للطلب. أحد سيناريوهات الاستخدام هو توجيه طلبات أنواع المحتوى المختلفة إلى تجمّع مُختلف.
على سبيل المثال، يتم توجيه الطلبات http://contoso.com/video/* إلى VideoServerPool، http://contoso.com/images/* وإلى ImageServerPool. ويتم تحديد DefaultServerPool إذا لم تتطابق أي من أنماط المسار.
لمزيد من المعلومات، راجع نظرة عامة حول التوجيه المستند إلى مسار عنوان موقع ويب.
استضافة متعددة المواقع
باستخدام «بوابة التطبيق»، يمكنك تكوين التوجيه استنادًا إلى اسم المضيف أو اسم المجال لأكثر من تطبيق ويب في بوابة التطبيق نفسها. فهو يسمح لك بتكوين طوبولوجيا أكثر كفاءة للتوزيع الخاص بك عن طريق إضافة ما يصل إلى أكثر من 100 موقع ويب إلى بوابة تطبيق واحدة. يمكن توجيه كل موقع إلى مجموعة الواجهة الخلفية الخاصة به. على سبيل المثال، تشير ثلاثة مجالات وهي contoso.com وfabrikam.com وadatum.com إلى عنوان IP لبوابة التطبيق. يمكنك إنشاء ثلاثة مستمعين متعددة المواقع وتكوين كل وحدة بإعداد المنفذ والبروتوكول المعني لها.
يتم توجيه http://contoso.com الطلبات إلى ContosoServerPool، http://fabrikam.com وإلى FabrikamServerPool، وما إلى ذلك.
وبالمثل، يمكن استضافة نطاقين فرعيين من المجال الأصل نفسه على توزيع بوابة التطبيق نفسها. يمكن أن تتضمن أمثلة استخدام النطاقات الفرعية http://blog.contoso.comوhttp://app.contoso.com استضافتها على توزيع أحادي لبوابة التطبيق. لمزيد من المعلومات، راجع استضافة مواقع متعددة باستخدام بوابة التطبيق.
يمكنك أيضًا تعريف أسماء مضيف حرف البدل في وحدة الاستماع متعددة المواقع وما قد يصل إلى 5 أسماء مضيف لكل وحدة استماع. لمعرفة المزيد، راجع أسماء مضيفي أحرف البدل في وحدة الاستماع.
إعادة التوجيه
ومن بين السيناريوهات الشائعة للعديد من تطبيقات الويب هو دعم إعادة التوجيه التلقائي من الـ HTTP إلى الـ HTTPS لضمان إجراء جميع الاتصالات بين التطبيق ومستخدميه في مسارٍ مشفر.
ففي الماضي، فربما قد استخدمت تقنيات مثل إنشاء تجمع مخصص يعد غرضه الوحيد هو إعادة توجيه الطلبات التي يتلقاها على الـ HTTIP لتصل إلى الـ HTTPS. تدعم بوابة التطبيق القدرة على إعادة توجيه نسبة استخدام الشبكة على بوابة التطبيق. ويسهل هذا تكوين التطبيق، ويحسن استخدام المورد ويدعم السيناريوهات الجديدة لإعادة التوجيه، بما يشمل إعادة التوجيه العمومي والمستند إلى المسار. لا يقتصر دعم إعادة توجيه بوابة التطبيق على إعادة التوجيه من الـ HTTP إلى الـ HTTPS وحدها. هذه هي آلية إعادة التوجيه العامة، بحيث يمكنك إعادة التوجيه من وإلى أي منفذ تقوم بتعريفه باستخدام القواعد. كما أنه يدعم أيضًا إعادة التوجيه إلى الموقع الخارجي.
يوفر دعم إعادة توجيه Application Gateway القدرات التالية:
- إعادة التوجيه العمومي من منفذ إلى منفذ آخر في البوابة. هذا يمكِّن إعادة توجيه HTTP إلى HTTPS على أحد المواقع.
- إعادة التوجيه المستندة إلى المسار. يمكّن هذا النوع من أنواع إعادة التوجيه من الـ HTTP إلى الـ HTTPS فقط في منطقة محددة بالموقع، على سبيل المثال منطقة عربة التسوق المشار إليها بواسطة
/cart/*. - إعادة التوجيه إلى موقع خارجي.
لمزيد من المعلومات، راجع عمليات إعادة التوجيه في بوابة التطبيق.
تقارب الجلسة
ميزة ترابط جلسة العمل المستندة إلى ملف تعريف الارتباط ستساعدك عندما تريد الاحتفاظ بجلسة عمل مستخدم على نفس الخادم. باستخدام ملفات تعريف الارتباط المدارة بواسطة البوابة، يمكن لبوابة التطبيق توجيه نسبة استخدام الشبكة اللاحقة من جلسة مستخدم إلى نفس الخادم للمعالجة. وهذا أمر مهم في الحالات التي تُحفظ فيها حالة جلسة العمل محليًا على الخادم لجلسة عمل المستخدم.
لمزيد من المعلومات، راجع عمليات كيفية عمل بوابة التطبيق.
نسبة استخدام شبكة بروتوكول الـ HTTP/2 وبروتوكول Websocket
يوفر بوابة التطبيق الدعم الأصلي للبروتوكولات WebSocket و HTTP/2. لا يوجد إعداد قابل للتكوين من قِبل المستخدم لتمكين دعم WebSocket أو تعطيله بشكل انتقائي.
تمكن بروتوكولات WebSocket و HTTP/2 اتصال كامل مزدوج بين الخادم والعميل عبر اتصال الـ TCP قيد التشغيل لفترة طويلة. يسمح ذلك باتصال أكثر تفاعلاً بين خادم الويب والعميل، ويمكن أن يكون ثنائي الاتجاه دون الحاجة إلى التحقق كما هو مطلوب في التطبيقات المستندة إلى الـ HTTP. إن لدى هذه البروتوكولات حمل منخفضة، على عكس الـ HTTP، ويمكن إعادة استخدام اتصال الـ TCP لطلب /استجابات متعددة ينتج عنها استخدام أعلى كفاءة للموارد. تم تصميم هذه البروتوكولات للعمل عبر منافذ الـ HTTP التقليدية من 80 و 443.
لمزيد من المعلومات، راجع دعم بروتوكول WebSocketودعم بروتوكول HTTP/2.
استنزاف الاتصال
يساعدك استنزاف الاتصال على تحقيق إزالة بأمان لأعضاء تجمع الخلفية أثناء تحديثات الخدمة المخطط لها أو مشاكل تتعلق بصحة الخلفية. يتم تمكين هذا الإعداد عبر إعداد الواجهة الخلفية ويتم تطبيقه على جميع أعضاء تجمع الخلفية أثناء إنشاء القاعدة. بمجرد التمكين، تضمن بوابة التطبيق عدم تلقي جميع مثيلات إلغاء التسجيل لتجمع الواجهة الخلفية أي طلبات جديدة مع السماح بإكمال الطلبات الموجودة ضمن حد زمني مكون. ينطبق على الحالات التي تكون فيها مثيلات الواجهة الخلفية:
- تمت إزالته بشكل صريح من تجمع الواجهة الخلفية بعد تغيير التكوين بواسطة مستخدم، أو
- تم الإبلاغ عنها على أنها غير صحية من قبل فحوصات السلامة
الاستثناء الوحيد هو عندما يستمر نقل الطلبات إلى مثيلات إلغاء التسجيل بسبب ترابط جلسة العمل المدارة بواسطة البوابة.
يتم تكريم استنزاف الاتصال لاتصالات WebSocket أيضا. يتم استدعاء استنزاف الاتصال لكل تحديث واحد للبوابة. لمنع فقدان الاتصال بالأعضاء الحاليين في تجمع الخلفية، تأكد من تمكين استنزاف الاتصال.
للحصول على معلومات حول الحدود الزمنية، راجع تكوين إعدادات الواجهة الخلفية.
صفحات الأخطاء المخصصة
تتيح لك بوابة ال Application إنشاء صفحات الأخطاء المخصصة بدلاً من عرض صفحات الخطأ الافتراضية. يمكنك استخدام العلامة التجارية الخاصة بك والتخطيط باستخدام صفحة الأخطاء المُخصصة.
للمزيد من المعلومات، راجع رسائل الأخطاء المخصصة.
إعادة كتابة عناوين HTTP وURL
تسمح عناوين الـ HTTP للعميل والخادم بتمرير معلومات إضافية بالطلب أو بالاستجابة. تساعدك إعادة كتابة عناوين الـ HTTP على إنجاز العديد من السيناريوهات المهمة، مثل:
- إضافة حقول عناوين تتعلق بالأمان مثل HSTS/ X-XSS-Protection.
- إزالة حقول رؤوس الاستجابة التي يمكن أن تكشف عن معلومات حساسة.
- تجريد معلومات المنفذ من رؤوس X-Forwarded-For.
تدعم Application Gateway و WAF v2 SKU القدرة على إضافة عناوين طلب واستجابة HTTP أو إزالتها أو تحديثها، بينما تنتقل حزم الطلب والاستجابة بين مجموعات العميل والواجهة الخلفية. يمكنك أيضًا إعادة كتابة عناوين مواقع الويب، ومعلمات سلسلة الاستعلام واسم المضيف. باستخدام إعادة كتابة عنوان URL والتوجيه المستند إلى مسار URL، يمكنك اختيار إما توجيه الطلبات إلى أحد تجمعات الواجهة الخلفية استنادا إلى المسار الأصلي أو المسار المعاد كتابته، باستخدام خيار إعادة تقييم مخطط المسار.
وتُقدم لك أيضًا القدرة على إضافة شروط لضمان إعادة كتابة الرؤوس المحددة أو عنوان موقع الويب فقط عند استيفاء شروط معينة. وتستند هذه الشروط إلى معلومات الطلب والاستجابة.
لمزيد من المعلومات، راجع إعادة كتابة عناوين الـ HTTP وعنوان موقع الويب.
ضبط الحجم
يمكن تكوين «بوابة التطبيق القياسية» _v2 للتحجيم التلقائي أو لعمليات توزيع الحجم الثابت. لا تقدم وحدة حفظ المخزون V2 أحجام مثيلة مختلفة. لمزيد من المعلومات حول أداء الـ V2 والتسعير، راجع التحجيم التلقائي V2 و فهم التسعير.
يتم تقديم «بوابة التطبيق القياسية» (v1) في ثلاثة أحجام: صغيرةومتوسطةوكبيرة. يتم تخصيص أحجام المثيلات الصغيرة لسيناريوهات التطوير والاختبار.
للحصول على قائمة كاملة حول حدود بوابة التطبيق، راجع حدود خدمة بوابة التطبيق.
يعرض الجدول التالي متوسط معدل نقل الأداء لكل مثيل في بوابة التطبيق v1 بتمكين عملية إلغاء تحميل طبقة مآخذ التوصيل الآمنة:
| متوسط حجم استجابة الصفحة الخلفية | صغير | متوسط | كبير |
|---|---|---|---|
| 6 كيلوبايت | 7.5 ميغابايت في الثانية | 13 ميغابايت في الثانية | 50 ميغابت لكل ثانية |
| 100 KB | 35 ميغابايت في الثانية | 100 ميغابت في الثانية | 200 ميجابت لكل ثانية |
إشعار
تعد هذه القيم تقريبية لمعدل نقل بوابة التطبيق. يعتمد معدل النقل الفعلي على تفاصيل البيئة المختلفة، مثل متوسط حجم الصفحة وموقع مثيلات الواجهة الخلفية ووقت المعالجة لخدمة صفحة. للحصول على أرقام الأداء الدقيقة، يجب عليك إجراء الاختبارات خاصتك. ولا يتم تقديم هذه القيم إلا لتوجيه تخطيط القدرة الإنتاجية.
مقارنة مميزات الإصدار
لمقارنة ميزات Application Gateway v1-v2، راجع ما هو Azure Application Gateway v2.
الخطوات التالية
- تعرف على كيفية عمل بوابة التطبيق
- مراجعة الأسئلة المتداولة حول بوابة تطبيق Azure