funkce Azure Application Gateway
Azure Application Gateway je nástroj pro vyrovnávání zatížení webového provozu, který umožňuje spravovat provoz do webových aplikací.
Poznámka
V případě webových úloh důrazně doporučujeme využít ochranu Azure DDoS a firewall webových aplikací , které chrání před vznikajícími útoky DDoS. Další možností je využít Službu Azure Front Door společně s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.
Application Gateway zahrnuje následující funkce:
Ukončení protokolu SSL/TLS (Secure Sockets Layer)
Služba Application Gateway podporuje ukončení protokolu SSL/TLS v bráně, po kterém provoz obvykle teče nešifrovaný na back-endové servery. Tato funkce webovým serverům umožňuje snížení nákladné režie spojené s šifrováním a dešifrováním. Někdy ale není zašifrovaná komunikace se servery přijatelnou možností. Důvodem můžou být požadavky na zabezpečení, požadavky na dodržování předpisů nebo aplikace může přijímat pouze zabezpečené připojení. Pro tyto aplikace služba Application Gateway podporuje koncové šifrování SSL/TLS.
Další informace najdete v tématu Přehled ukončení protokolu SSL a koncového šifrování PROTOKOLU SSL s Application Gateway
Automatické škálování
Application Gateway Standard_v2 podporuje automatické škálování a může vertikálně navýšit nebo snížit kapacitu v závislosti na měnících se vzorech zatížení provozu. Automatické škálování také eliminuje nutnost zvolit během zřizování velikost nasazení nebo počet instancí.
Další informace o funkcích Application Gateway Standard_v2 najdete v tématu Co je Azure Application Gateway v2?.
Zónová redundance
Standard_v2 Application Gateway může zahrnovat několik Zóny dostupnosti, což nabízí lepší odolnost proti chybám a odstraňuje nutnost zřizovat samostatné služby Application Gateway v každé zóně.
Statická VIRTUÁLNÍ IP adresa
Skladová položka služby Application Gateway Standard_v2 podporuje výhradně statický typ virtuální IP adresy. Tím se zajistí, že se virtuální IP adresa přidružená ke službě Application Gateway nezmění ani po dobu životnosti Application Gateway.
Firewall webových aplikací
Web Application Firewall (WAF) je služba, která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF je založený na pravidlech ze základních sad pravidel OWASP (Open Web Application Security Project) 3.1 (pouze WAF_v2), 3.0 a 2.2.9.
Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. Mezi tyto běžné typy zneužití patří mimo jiné například útoky prostřednictvím injektáže SQL nebo skriptování mezi weby. Předcházet takovým útokům v kódu aplikace může být náročné a může vyžadovat pečlivou údržbu, opravy a monitorování mnoha vrstev topologie aplikace. Centralizovaný firewall webových aplikací značně zjednodušuje správu zabezpečení a nabízí správcům lepší ochranu aplikací před hrozbami neoprávněného vniknutí. Řešení Firewall webových aplikací (WAF) může také rychleji reagovat na ohrožení zabezpečení, protože opravuje známé chyby zabezpečení v centrálním umístění, namísto zabezpečování jednotlivých webových aplikací. Existující aplikační brány je možné snadno převést na aplikační bránu s podporou Web Application Firewall.
Pokyny k použití Azure WAF s Application Gateway k ochraně před útoky DDoS najdete v tématu Ochrana aplikací před útoky DDoS. Další informace najdete v tématu Co je Azure Web Application Firewall?.
Kontroler Ingress pro AKS
Application Gateway kontroler příchozího přenosu dat (AGIC) umožňuje použít Application Gateway jako příchozí přenos dat pro cluster Azure Kubernetes Service (AKS).
Kontroler příchozího přenosu dat běží v rámci clusteru AKS jako pod, využívá prostředky příchozího přenosu dat Kubernetes a převádí je na Application Gateway konfiguraci, která bráně umožňuje vyrovnávat zatížení provozu do podů Kubernetes. Kontroler příchozího přenosu dat podporuje pouze skladové položky Application Gateway Standard_v2 a WAF_v2.
Další informace najdete v tématu Application Gateway kontroler příchozího přenosu dat (AGIC).
Směrování na základě adresy URL
Směrování na základě cest URL umožňuje směrovat provoz do fondů back-endového serveru na základě cest URL požadavku. Jedním ze scénářů je směrování žádostí na různé typy obsahu do různých fondů.
Například žádosti na adresu http://contoso.com/video/* se směrují na VideoServerPool a žádosti na adresu http://contoso.com/images/* na ImageServerPool. Pokud nevyhovuje žádný vzor cesty, vybere se VychoziFondServeru.
Další informace najdete v tématu Přehled směrování na základě cest URL.
Hostování několika webů
S Application Gateway můžete nakonfigurovat směrování na základě názvu hostitele nebo názvu domény pro více než jednu webovou aplikaci ve stejné službě Application Gateway. Díky možnosti přidat do jedné služby Application Gateway více než 100 webů můžete nakonfigurovat efektivnější topologii vašich nasazení. Každou stránku lze přesměrovat na vlastní back-endový fond. Příklad: na IP adresu služby Application Gateway odkazují tři domény – contoso.com, fabrikam.com a adatum.com. Můžete vytvořit tři naslouchací procesy pro více webů a jednotlivé naslouchací procesy nakonfigurovat pro příslušené nastavení portu a protokolu.
Požadavky na http://contoso.com jsou směrovány na ContosoServerPool, http://fabrikam.com do fondu FabrikamServerPool atd.
Podobně je možné ve stejném nasazení aplikační brány hostovat dvě poddomény stejné nadřazené domény. Příklady použití subdomén můžou zahrnovat adresy http://blog.contoso.com a http://app.contoso.com hostované v jednom nasazení aplikační brány. Další informace najdete v tématu Application Gateway hostování více webů.
V naslouchacím procesu pro více webů můžete také definovat názvy hostitelů se zástupnými znaky a až 5 názvů hostitelů na naslouchací proces. Další informace najdete v tématu Názvy hostitelů se zástupnými znakůymi v naslouchacím procesu.
Přesměrování
Běžným scénářem pro mnoho webových aplikací je podpora automatického přesměrování HTTP na HTTPS, aby se zajistilo, že veškerá komunikace mezi aplikací a jejími uživateli probíhá přes šifrovanou cestu.
V minulosti jste možná používali techniky, jako je vytvoření vyhrazeného fondu, jehož jediným účelem je přesměrovat požadavky, které přijímá v protokolu HTTP na HTTPS. Aplikační brána podporuje možnost přesměrovat provoz na Application Gateway. To zjednodušuje konfiguraci aplikací, optimalizuje využití prostředků a podporuje nové scénáře přesměrování, včetně globálního přesměrování a přesměrování na základě cesty. podpora přesměrování Application Gateway se neomezuje jenom na přesměrování z HTTP na HTTPS. Jde o obecný mechanismus přesměrování, takže můžete provoz přesměrovat z kteréhokoliv portu a na kterýkoliv port, který definujete pomocí pravidel. Také podporuje přesměrování na externí web.
Podpora přesměrování Application Gateway nabízí následující možnosti:
- Globální přesměrování z jednoho portu na jiný port ve službě Application Gateway. To umožňuje přesměrování z HTTP na HTTPS na webu.
- Přesměrování na základě cesty. Tento typ přesměrování umožňuje přesměrování z HTTP na HTTPS jenom v konkrétní oblasti webu, například v oblasti nákupního košíku označené jako
/cart/*. - Přesměrování na externí web.
Další informace najdete v přehledu přesměrování Application Gateway.
Spřažení relací
Funkce spřažení relací na základě souborů cookie je užitečná v případě, že chcete zachovat uživatelskou relaci na stejném serveru. Pomocí souborů cookie spravovaných bránou může Application Gateway směrovat následný provoz z uživatelské relace ke zpracování na stejný server. To je důležité v případech, kdy se stav jednotlivých uživatelských relací ukládá místně na serveru.
Další informace najdete v tématu Jak funguje aplikační brána.
Provoz přes protokoly Websocket a HTTP/2
Application Gateway poskytuje nativní podporu pro protokoly WebSocket a HTTP/2. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro selektivní povolení nebo zakázání podpory protokolu WebSocket.
Protokoly WebSocket a HTTP/2 umožňují plně duplexní komunikaci mezi serverem a klientem přes dlouhotrvající připojení TCP. To umožňuje interaktivnější komunikaci mezi webovým serverem a klientem, která může být obousměrná, aniž by bylo nutné dotazování, jak se to vyžaduje v implementacích založených na protokolu HTTP. Tyto protokoly mají na rozdíl od HTTP nízkou režii a můžou opakovaně používat stejné připojení TCP pro více požadavků a odpovědí, což vede k efektivnějšímu využití prostředků. Tyto protokoly jsou navrženy pro práci přes tradiční porty HTTP 80 a 443.
Další informace najdete v tématu Podpora protokolu WebSocket a podpora protokolu HTTP/2.
Vyprázdnění připojení
Vyprázdnění připojení pomáhá zajistit řádné odebrání členů back-endového fondu během plánovaných aktualizací služeb nebo problémů se stavem back-endu. Toto nastavení se povoluje prostřednictvím nastavení back-endu a použije se u všech členů back-endového fondu při vytváření pravidla. Po povolení služba Application Gateway zajistí, že všechny instance back-endového fondu, které se odregistrují, nepřijdou žádné nové požadavky, a zároveň umožní dokončení stávajících požadavků v rámci nakonfigurovaného časového limitu. Platí pro případy, kdy back-endové instance jsou:
- explicitně odebráno z back-endového fondu po změně konfigurace uživatelem
- hlášeno, že není v pořádku sondami stavu, nebo
- odebrané během operace škálování na více instancí
Jedinou výjimkou je, když se požadavky kvůli spřažení relací spravovaných bránou dál přesouvají na instance, které se deregistrují.
Vyprázdnění připojení je také respektováno pro připojení WebSocket. Vyprázdnění připojení se vyvolá při každé aktualizaci brány. Pokud chcete zabránit ztrátě připojení k existujícím členům back-endového fondu, nezapomeňte povolit vyprazdňování připojení.
Informace o časových limitech najdete v tématu Konfigurace nastavení back-endu.
Vlastní chybové stránky
Služba Application Gateway vám umožní vytvořit vlastní chybové stránky místo zobrazení výchozích chybových stránek. U vlastní chybové stránky můžete použít vlastní branding a rozložení.
Další informace najdete v tématu Vlastní chyby.
Přepsání hlaviček HTTP a adres URL
Hlavičky HTTP umožňují klientovi a serveru předat další informace s požadavkem nebo odpovědí. Přepsání těchto hlaviček HTTP vám pomůže dosáhnout několika důležitých scénářů, například:
- Přidání polí hlaviček souvisejících se zabezpečením, jako je HSTS nebo X-XSS-Protection.
- Odebere se pole záhlaví odpovědi, která můžou odhalit citlivé informace.
- Odebrání informací o portu ze záhlaví X-Forwarded-For
Application Gateway a skladová položka WAF v2 podporuje možnost přidávat, odebírat nebo aktualizovat hlavičky požadavků a odpovědí HTTP, zatímco pakety požadavků a odpovědí se přesunují mezi klientem a back-endovým fondem. Můžete také přepsat adresy URL, parametry řetězců dotazu a název hostitele. Při přepsání adresy URL a směrování založeném na cestě URL se můžete rozhodnout směrovat požadavky na jeden z back-endových fondů na základě původní cesty nebo přepsané cesty pomocí možnosti znovu vyhodnotit mapování cest.
Můžete také přidat podmínky, které zajistí, že se zadané hlavičky nebo adresy URL přepíší pouze při splnění těchto podmínek. Tyto podmínky vycházejí z informací o požadavku a odpovědi.
Další informace najdete v tématu Přepsání hlaviček HTTP a adresy URL.
Velikosti
Application Gateway Standard_v2 je možné nakonfigurovat pro nasazení s automatickým škálováním nebo s pevnou velikostí. Skladová položka v2 nenabízí různé velikosti instancí. Další informace o výkonu a cenách v2 najdete v tématech Automatické škálování verze 2 a Vysvětlení cen.
Application Gateway Standard (v1) se nabízí ve třech velikostech: Small, Medium a Large. Instance krátkodobého používání jsou určené pro scénáře vývoje a testování.
Úplný seznam omezení služby Application Gateway najdete na stránce Omezení služby Application Gateway.
Následující tabulka ukazuje průměrnou propustnost výkonu pro každou instanci služby Application Gateway v1 s povoleným přesměrováním zpracování SSL:
| Průměrná velikost odpovědi na back-endovou stránku | Malá | Střední | Velká |
|---|---|---|---|
| 6 kB | 7,5 Mb/s | 13 Mb/s | 50 Mb/s |
| 100 kB | 35 Mb/s | 100 Mb/s | 200 Mb/s |
Poznámka
Tyto hodnoty jsou přibližné hodnoty propustnosti služby Application Gateway. Skutečná propustnost závisí na různých podrobnostech prostředí, jako je například průměrná velikost stránky, umístění back-endových instancí a doba zpracování pro obsluhu stránky. Přesné údaje o výkonu získáte, když spustíte vlastní testy. Tyto hodnoty slouží jenom jako vodítko při plánování kapacity.
Porovnání funkcí verzí
Porovnání funkcí Application Gateway v1-v2 najdete v tématu Co je Azure Application Gateway v2?.