Sdílet prostřednictvím


Vlastnosti Azure aplikační brány

Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací.

Koncepční informace o službě Application Gateway

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.

Application Gateway obsahuje následující funkce:

Ukončení protokolu SSL/TLS (Secure Sockets Layer)

Application Gateway podporuje ukončení protokolu SSL/TLS v bráně, po kterém provoz obvykle proudí nešifrovaný na back-endové servery. Tato funkce webovým serverům umožňuje snížení nákladné režie spojené s šifrováním a dešifrováním. Někdy ale není přijatelná možnost nešifrované komunikace se servery. Důvodem můžou být požadavky na zabezpečení, požadavky na dodržování předpisů nebo aplikace může přijímat pouze zabezpečené připojení. U těchto aplikací služba Application Gateway podporuje koncové šifrování SSL/TLS.

Další informace najdete v tématu Přehled ukončení protokolu SSL a koncového šifrování SSL se službou Application Gateway.

Automatické škálování

Služba Application Gateway Standard_v2 podporuje automatické škálování a může vertikálně navýšit nebo snížit kapacitu na základě změn vzorců zatížení provozu. Automatické škálování také eliminuje nutnost zvolit během zřizování velikost nasazení nebo počet instancí.

Další informace o funkcích služby Application Gateway Standard_v2 najdete v tématu Co je Azure Application Gateway v2.

Zónová redundance

Služba Standard_v2 Application Gateway může zahrnovat více Zóny dostupnosti, která nabízí lepší odolnost proti chybám a odstraňuje nutnost zřídit samostatné služby Application Gateway v každé zóně.

Statická virtuální IP adresa

SKU služby Application Gateway Standard_v2 podporuje výhradně statický typ virtuální IP adresy. Tím se zajistí, že se virtuální IP adresa přidružená k aplikační bráně nezmění i po dobu její životnosti.

Firewall webových aplikací

Firewall webových aplikací (WAF) je služba, která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF vychází z pravidel základních sad pravidel OWASP (Open Web Application Security Project) 3.1 (pouze WAF_v2), 3.0 a 2.2.9.

Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. Mezi tyto běžné typy zneužití patří mimo jiné například útoky prostřednictvím injektáže SQL nebo skriptování mezi weby. Předcházet takovým útokům v kódu aplikace může být náročné a může vyžadovat pečlivou údržbu, opravy a monitorování mnoha vrstev topologie aplikace. Centralizovaný firewall webových aplikací značně zjednodušuje správu zabezpečení a nabízí správcům lepší ochranu aplikací před hrozbami neoprávněného vniknutí. Řešení Firewall webových aplikací (WAF) může také rychleji reagovat na ohrožení zabezpečení, protože opravuje známé chyby zabezpečení v centrálním umístění, namísto zabezpečování jednotlivých webových aplikací. Stávající aplikační brány je možné snadno převést na aplikační bránu s funkcí webového aplikačního firewallu.

Pokyny k použití Azure WAF se službou Application Gateway k ochraně před útoky DDoS najdete v tématu Ochrana před útoky DDoS. Další informace najdete v tématu Co je Azure Web Application Firewall.

Kontroler Ingress pro AKS

Kontroler příchozího přenosu dat služby Application Gateway (AGIC) umožňuje používat Application Gateway jako příchozí přenos dat pro cluster Azure Kubernetes Service (AKS ).

Kontroler příchozího přenosu běží v clusteru AKS jako pod a využívá Kubernetes Ingress Resources a převádí je na konfiguraci služby Application Gateway, což umožňuje bráně směrovat a vyvažovat zátěž na pody Kubernetes. Kontroler vstupního provozu podporuje jenom Standard_v2 služby Application Gateway a WAF_v2 SKUs.

Další informace najdete v řadiči příchozích toků služby Application Gateway (AGIC).

Směrování na základě adresy URL

Směrování na základě cest URL umožňuje směrovat provoz do back-endových fondů serverů na základě cest URL požadavku. Jedním ze scénářů je směrování žádostí na různé typy obsahu do různých fondů.

Například žádosti na adresu http://contoso.com/video/* se směrují na VideoServerPool a žádosti na adresu http://contoso.com/images/* na ImageServerPool. Pokud nevyhovuje žádný vzor cesty, vybere se VýchozíFondServeru.

Další informace najdete v tématu Přehled směrování na základě cest URL.

Hostování několika webů

Se službou Application Gateway můžete nakonfigurovat směrování na základě názvu hostitele nebo názvu domény pro více než jednu webovou aplikaci ve stejné aplikační bráně. Díky možnosti přidat do jedné služby Application Gateway více než 100 webů můžete nakonfigurovat efektivnější topologii vašich nasazení. Každou webovou stránku lze přesměrovat na vlastní backendový pool. Příklad: na IP adresu služby Application Gateway odkazují tři domény – contoso.com, fabrikam.com a adatum.com. Můžete vytvořit tři naslouchací procesy pro více webů a jednotlivé naslouchací procesy nakonfigurovat pro příslušené nastavení portu a protokolu.

Požadavky se http://contoso.com směrují na ContosoServerPool, http://fabrikam.com se směrují na FabrikamServerPool a tak dále.

Podobně je možné ve stejném nasazení aplikační brány hostovat dvě poddomény stejné nadřazené domény. Příklady použití subdomén můžou zahrnovat adresy http://blog.contoso.com a http://app.contoso.com hostované v jednom nasazení aplikační brány. Další informace najdete v tématu Hostování více webů ve službě Application Gateway.

V víceúčelovém posluchači můžete také definovat názvy hostitelů se zástupnými znaky a až 5 názvů hostitelů na každý posluchač. Pro více informací si přečtěte o názvech hostitelů s univerzálními znaky v naslouchacím prostředí.

Přesměrování

Běžným scénářem pro mnoho webových aplikací je podpora automatického přesměrování HTTP na HTTPS, aby se zajistilo, že veškerá komunikace mezi aplikací a jejími uživateli probíhá přes šifrovanou cestu.

V minulosti jste možná použili techniky, jako je vytvoření vyhrazeného fondu, jejímž jediným účelem je přesměrování požadavků, které přijímá z HTTP na HTTPS. Aplikační brána podporuje možnost přesměrovat provoz na Application Gateway. To zjednodušuje konfiguraci aplikací, optimalizuje využití prostředků a podporuje nové scénáře přesměrování, včetně globálního přesměrování a přesměrování na základě cesty. Podpora přesměrování služby Application Gateway není omezena pouze na přesměrování HTTP na HTTPS. Jde o obecný mechanismus přesměrování, takže můžete provoz přesměrovat z kteréhokoliv portu a na kterýkoliv port, který definujete pomocí pravidel. Také podporuje přesměrování na externí web.

Podpora přesměrování Application Gateway nabízí následující možnosti:

  • Globální přesměrování z jednoho portu na jiný port na bráně. To umožňuje přesměrování z HTTP na HTTPS na webu.
  • Přesměrování na základě cesty. Tento typ přesměrování umožňuje přesměrování z HTTP na HTTPS jenom v konkrétní oblasti webu, například v oblasti nákupního košíku označené jako /cart/*.
  • Přesměrování na externí web.

Další informace najdete v tématu Přesměrování služby Application Gateway: přehled.

Spřažení relací

Funkce spřažení relací na základě souborů cookie je užitečná v případě, že chcete zachovat uživatelskou relaci na stejném serveru. Pomocí souborů cookie spravovaných bránou může Application Gateway směrovat následný provoz z uživatelské relace na stejný server ke zpracování. To je důležité v případech, kdy se stav jednotlivých uživatelských relací ukládá místně na serveru.

Další informace najdete v tématu Jak funguje aplikační brána.

Přenosy WebSocket a HTTP/2

Application Gateway poskytuje nativní podporu pro protokoly WebSocket a HTTP/2. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro selektivní povolení nebo zakázání podpory protokolu WebSocket.

Protokoly WebSocket a HTTP/2 umožňují plně duplexní komunikaci mezi serverem a klientem přes dlouhotrvající připojení TCP. To umožňuje interaktivnější komunikaci mezi webovým serverem a klientem, která může být obousměrná, aniž by bylo nutné dotazování, jak se to vyžaduje v implementacích založených na protokolu HTTP. Tyto protokoly mají nízkou režii, na rozdíl od PROTOKOLU HTTP a můžou znovu použít stejné připojení TCP pro více požadavků a odpovědí, což vede k efektivnějšímu využití prostředků. Tyto protokoly jsou navrženy pro práci přes tradiční porty HTTP 80 a 443.

Další informace najdete v tématu Podpora protokolu WebSocket a podpora HTTP/2.

Vyprázdnění připojení

Vyprázdnění připojení pomáhá dosáhnout bezproblémového odstranění členů backendové skupiny během plánovaných aktualizací služeb nebo problémů se stavem backendu. Toto nastavení je povoleno prostřednictvím Nastavení backendu a je použito pro všechny členy backendového fondu během vytváření pravidla. Po povolení služba Application Gateway zajistí, že všechny instance back-endového fondu neregistrují žádné nové požadavky a umožní dokončení stávajících požadavků v rámci nakonfigurovaného časového limitu. Vztahuje se na případy, kdy jsou back-endové instance explicitně odebrány z back-endového fondu po změně konfigurace uživatelem.

Vyprazdňování připojení je také dodrženo pro připojení WebSocket. Pro každou aktualizaci brány se vyvolá vyprazdňování připojení. Pokud chcete zabránit ztrátě připojení pro stávající členy back-endové skupiny, nezapomeňte zapnout odvod připojení.

Další podrobnosti najdete v tématu Konfigurace nastavení back-endu.

Stránky vlastních chyb

Služba Application Gateway vám umožní vytvořit vlastní chybové stránky místo zobrazení výchozích chybových stránek. U vlastní chybové stránky můžete použít vlastní branding a rozložení.

Další informace naleznete v tématu Vlastní chyby.

Přepsání hlaviček HTTP a adres URL

Hlavičky HTTP umožňují klientovi a serveru předávat další informace s požadavkem nebo odpovědí. Přepsání těchto hlaviček HTTP vám pomůže dosáhnout několika důležitých scénářů, například:

  • Přidání polí hlaviček souvisejících se zabezpečením, jako je HSTS nebo X-XSS-Protection
  • Odebrání polí záhlaví odpovědi, která můžou odhalit citlivé informace.
  • Odstraňování informací o portu ze záhlaví X-Forwarded-For.

Skladová položka Application Gateway a WAF v2 podporuje možnost přidávat, odebírat nebo aktualizovat hlavičky požadavků a odpovědí HTTP, zatímco pakety požadavků a odpovědí se pohybují mezi klientem a back-endovými fondy. Můžete také přepsat adresy URL, parametry řetězců dotazu a název hostitele. Pomocí přepsání adresy URL a směrování na základě cesty URL se můžete rozhodnout, zda chcete směrovat požadavky do jednoho z back-endových serverů na základě původní cesty nebo přepsané cesty, pomocí možnosti přehodnotit mapu cest.

Můžete také přidat podmínky, které zajistí, že se zadané hlavičky nebo adresy URL přepíší pouze při splnění těchto podmínek. Tyto podmínky vycházejí z informací o požadavku a odpovědi.

Další informace najdete v tématu Přepsání hlaviček HTTP a adresy URL.

Velikost

Je možné nakonfigurovat službu Application Gateway verze Standard_v2 pro automatické škálování nebo nasazení pevné velikosti. SKU v2 nenabízí různé velikosti instancí. Další informace o výkonu a cenách v2 najdete v tématu Automatické škálování V2 a Vysvětlení cen.

Application Gateway Standard (v1) se nabízí ve třech velikostech: Small, Medium a Large. Malé velikosti instancí jsou určeny pro scénáře vývoje a testování.

Úplný seznam omezení služby Application Gateway najdete na stránce Omezení služby Application Gateway.

Následující tabulka ukazuje průměrnou propustnost pro každou instanci aplikační brány v1 s povoleným odkládáním SSL:

Průměrná velikost odezvy backendové stránky Malá Střední Velká
6 kB 7,5 Mb/s 13 Mb/s 50 Mb/s
100 kB 35 Mb/s 100 Mb/s 200 Mb/s

Poznámka:

Tyto hodnoty jsou přibližné hodnoty propustnosti služby Application Gateway. Skutečná propustnost závisí na různých podrobnostech prostředí, jako je průměrná velikost stránky, umístění back-endových instancí a doba zpracování, která slouží na stránce. Přesné údaje o výkonu získáte, když spustíte vlastní testy. Tyto hodnoty slouží jenom jako vodítko při plánování kapacity.

Porovnání funkcí verzí

Porovnání funkcí služby Application Gateway v1-v2 najdete v tématu Co je Azure Application Gateway v2.

Další kroky