Funkce brány Aplikace Azure
Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací.
Poznámka:
U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.
Application Gateway obsahuje následující funkce:
Ukončení protokolu SSL/TLS (Secure Sockets Layer)
Application Gateway podporuje ukončení protokolu SSL/TLS v bráně, po kterém provoz obvykle proudí nešifrovaný na back-endové servery. Tato funkce webovým serverům umožňuje snížení nákladné režie spojené s šifrováním a dešifrováním. Někdy ale není přijatelná možnost nešifrované komunikace se servery. Důvodem můžou být požadavky na zabezpečení, požadavky na dodržování předpisů nebo aplikace může přijímat pouze zabezpečené připojení. U těchto aplikací služba Application Gateway podporuje koncové šifrování SSL/TLS.
Další informace najdete v tématu Přehled ukončení protokolu SSL a koncového šifrování SSL se službou Application Gateway.
Automatické škálování
Služba Application Gateway Standard_v2 podporuje automatické škálování a může vertikálně navýšit nebo snížit kapacitu na základě změn vzorců zatížení provozu. Automatické škálování také eliminuje nutnost zvolit během zřizování velikost nasazení nebo počet instancí.
Další informace o funkcích Standard_v2 služby Application Gateway najdete v tématu Co je Aplikace Azure Gateway v2.
Zónová redundance
Služba Standard_v2 Application Gateway může zahrnovat více Zóny dostupnosti, která nabízí lepší odolnost proti chybám a odstraňuje nutnost zřídit samostatné služby Application Gateway v každé zóně.
Statická virtuální IP adresa
Skladová položka služby Application Gateway Standard_v2 podporuje výhradně statický typ VIRTUÁLNÍ IP adresy. Tím se zajistí, že se virtuální IP adresa přidružená ke službě Application Gateway nezmění ani po celou dobu životnosti služby Application Gateway.
Firewall webových aplikací
Firewall webových aplikací (WAF) je služba, která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF vychází z pravidel základních sad pravidel OWASP (Open Web Application Security Project) 3.1 (pouze WAF_v2), 3.0 a 2.2.9.
Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. Mezi tyto běžné typy zneužití patří mimo jiné například útoky prostřednictvím injektáže SQL nebo skriptování mezi weby. Předcházet takovým útokům v kódu aplikace může být náročné a může vyžadovat pečlivou údržbu, opravy a monitorování mnoha vrstev topologie aplikace. Centralizovaný firewall webových aplikací značně zjednodušuje správu zabezpečení a nabízí správcům lepší ochranu aplikací před hrozbami neoprávněného vniknutí. Řešení Firewall webových aplikací (WAF) může také rychleji reagovat na ohrožení zabezpečení, protože opravuje známé chyby zabezpečení v centrálním umístění, namísto zabezpečování jednotlivých webových aplikací. Stávající aplikační brány je možné snadno převést na aplikační bránu s povolenou bránou Firewall webových aplikací.
Pokyny k použití Azure WAF se službou Application Gateway k ochraně před útoky DDoS najdete v tématu Ochrana před útoky DDoS. Další informace najdete v tématu Co je Azure Web Application Firewall.
Kontroler Ingress pro AKS
Kontroler příchozího přenosu dat služby Application Gateway (AGIC) umožňuje používat Application Gateway jako příchozí přenos dat pro cluster Azure Kubernetes Service (AKS ).
Kontroler příchozího přenosu dat běží v clusteru AKS jako pod a využívá prostředky příchozího přenosu dat Kubernetes a převádí je na konfiguraci služby Application Gateway, která bráně umožňuje vyrovnávat zatížení provozu do podů Kubernetes. Kontroler příchozího přenosu dat podporuje jenom Standard_v2 služby Application Gateway a WAF_v2 SKU.
Další informace najdete v tématu Kontroler příchozího přenosu dat služby Application Gateway (AGIC).
Směrování na základě adresy URL
Směrování na základě cest URL umožňuje směrovat provoz do back-endových fondů serverů na základě cest URL požadavku. Jedním ze scénářů je směrování žádostí na různé typy obsahu do různých fondů.
Například žádosti na adresu http://contoso.com/video/* se směrují na VideoServerPool a žádosti na adresu http://contoso.com/images/* na ImageServerPool. Pokud nevyhovuje žádný vzor cesty, vybere se VychoziFondServeru.
Další informace najdete v tématu Přehled směrování na základě cest URL.
Hostování několika webů
Se službou Application Gateway můžete nakonfigurovat směrování na základě názvu hostitele nebo názvu domény pro více než jednu webovou aplikaci ve stejné aplikační bráně. Díky možnosti přidat do jedné služby Application Gateway více než 100 webů můžete nakonfigurovat efektivnější topologii vašich nasazení. Každou stránku lze přesměrovat na vlastní back-endový fond. Příklad: na IP adresu služby Application Gateway odkazují tři domény – contoso.com, fabrikam.com a adatum.com. Můžete vytvořit tři naslouchací procesy pro více webů a jednotlivé naslouchací procesy nakonfigurovat pro příslušené nastavení portu a protokolu.
Požadavky se http://contoso.com směrují na ContosoServerPool, http://fabrikam.com směrují se do FabrikamServerPool atd.
Podobně je možné ve stejném nasazení aplikační brány hostovat dvě poddomény stejné nadřazené domény. Příklady použití subdomén můžou zahrnovat adresy http://blog.contoso.com a http://app.contoso.com hostované v jednom nasazení aplikační brány. Další informace najdete v tématu Hostování více webů ve službě Application Gateway.
V naslouchacím procesu pro více webů můžete také definovat názvy hostitelů se zástupnými znaky a až 5 názvů hostitelů na naslouchací proces. Další informace najdete v naslouchacím procesu v názvech hostitelůsech
Přesměrování
Běžným scénářem pro mnoho webových aplikací je podpora automatického přesměrování HTTP na HTTPS, aby se zajistilo, že veškerá komunikace mezi aplikací a jejími uživateli probíhá přes šifrovanou cestu.
V minulosti jste možná použili techniky, jako je vytvoření vyhrazeného fondu, jehož jediným účelem je přesměrovat požadavky, které přijímá na HTTP na HTTPS. Aplikační brána podporuje možnost přesměrovat provoz na Application Gateway. To zjednodušuje konfiguraci aplikací, optimalizuje využití prostředků a podporuje nové scénáře přesměrování, včetně globálního přesměrování a přesměrování na základě cesty. Podpora přesměrování služby Application Gateway není omezena pouze na přesměrování HTTP na HTTPS. Jde o obecný mechanismus přesměrování, takže můžete provoz přesměrovat z kteréhokoliv portu a na kterýkoliv port, který definujete pomocí pravidel. Také podporuje přesměrování na externí web.
Podpora přesměrování Application Gateway nabízí následující možnosti:
- Globální přesměrování z jednoho portu na jiný port ve službě Application Gateway. To umožňuje přesměrování z HTTP na HTTPS na webu.
- Přesměrování na základě cesty. Tento typ přesměrování umožňuje přesměrování z HTTP na HTTPS jenom v konkrétní oblasti webu, například v oblasti nákupního košíku označené jako
/cart/*. - Přesměrování na externí web.
Další informace najdete v tématu Přehled přesměrování služby Application Gateway.
Spřažení relací
Funkce spřažení relací na základě souborů cookie je užitečná v případě, že chcete zachovat uživatelskou relaci na stejném serveru. Pomocí souborů cookie spravovaných bránou může Application Gateway směrovat následný provoz z uživatelské relace na stejný server ke zpracování. To je důležité v případech, kdy se stav jednotlivých uživatelských relací ukládá místně na serveru.
Další informace najdete v tématu Jak funguje aplikační brána.
Provoz přes protokoly Websocket a HTTP/2
Application Gateway poskytuje nativní podporu pro protokoly WebSocket a HTTP/2. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro selektivní povolení nebo zakázání podpory protokolu WebSocket.
Protokoly WebSocket a HTTP/2 umožňují plně duplexní komunikaci mezi serverem a klientem přes dlouhotrvající připojení TCP. To umožňuje interaktivnější komunikaci mezi webovým serverem a klientem, která může být obousměrná, aniž by bylo nutné dotazování, jak se to vyžaduje v implementacích založených na protokolu HTTP. Tyto protokoly mají nízkou režii, na rozdíl od PROTOKOLU HTTP a můžou znovu použít stejné připojení TCP pro více požadavků a odpovědí, což vede k efektivnějšímu využití prostředků. Tyto protokoly jsou navrženy pro práci přes tradiční porty HTTP 80 a 443.
Další informace najdete v tématu Podpora protokolu WebSocket a podpora HTTP/2.
Vyprázdnění připojení
Připojení vyprazdňování pomáhá dosáhnout řádného odebrání členů back-endového fondu během plánovaných aktualizací služby nebo problémů se stavem back-endu. Toto nastavení je povolené prostřednictvím nastavení back-endu a použije se pro všechny členy back-endového fondu během vytváření pravidla. Po povolení služba Application Gateway zajistí, že všechny instance back-endového fondu neregistrují žádné nové požadavky a umožní dokončení stávajících požadavků v rámci nakonfigurovaného časového limitu. Platí pro případy, kdy jsou back-endové instance:
- explicitně odebrané z back-endového fondu po změně konfigurace uživatelem
- hlášené jako poškozené sondami stavu, nebo
- odebrání během operace horizontálního snížení kapacity
Jedinou výjimkou je, že požadavky se budou dál řadit do instancí deregisteringu kvůli spřažení relací spravované bránou.
Vyprazdňování připojení je také dodrženo pro připojení WebSocket. Připojení vyprazdňování se vyvolá pro každou aktualizaci brány. Pokud chcete zabránit ztrátě připojení stávajícím členům back-endového fondu, nezapomeňte povolit vyprazdňování připojení.
Informace o časových limitech najdete v tématu Konfigurace back-endu Nastavení.
Stránky vlastních chyb
Služba Application Gateway vám umožní vytvořit vlastní chybové stránky místo zobrazení výchozích chybových stránek. U vlastní chybové stránky můžete použít vlastní branding a rozložení.
Další informace naleznete v tématu Vlastní chyby.
Přepsání hlaviček HTTP a adres URL
Hlavičky HTTP umožňují klientovi a serveru předávat další informace s požadavkem nebo odpovědí. Přepsání těchto hlaviček HTTP vám pomůže dosáhnout několika důležitých scénářů, například:
- Přidání polí hlaviček souvisejících se zabezpečením, jako je HSTS nebo X-XSS-Protection
- Odebrání polí záhlaví odpovědi, která můžou odhalit citlivé informace.
- Odstranění informací o portu ze záhlaví X-Forwarded-For
Skladová položka Application Gateway a WAF v2 podporuje možnost přidávat, odebírat nebo aktualizovat hlavičky požadavků a odpovědí HTTP, zatímco pakety požadavků a odpovědí se pohybují mezi klientem a back-endovými fondy. Můžete také přepsat adresy URL, parametry řetězců dotazu a název hostitele. Pomocí přepsání adresy URL a směrování založeného na cestě URL se můžete rozhodnout směrovat požadavky do jednoho z back-endových fondů na základě původní cesty nebo přepsané cesty pomocí možnosti přehodnotit mapu cest.
Můžete také přidat podmínky, které zajistí, že se zadané hlavičky nebo adresy URL přepíší pouze při splnění těchto podmínek. Tyto podmínky vycházejí z informací o požadavku a odpovědi.
Další informace najdete v tématu Přepsání hlaviček HTTP a adresy URL.
Nastavení velikosti
Standard_v2 služby Application Gateway je možné nakonfigurovat pro nasazení automatického škálování nebo pevné velikosti. Skladová položka v2 nenabízí různé velikosti instancí. Další informace o výkonu a cenách v2 najdete v tématu Automatické škálování V2 a Vysvětlení cen.
Application Gateway Standard (v1) se nabízí ve třech velikostech: Small, Medium a Large. Instance krátkodobého používání jsou určené pro scénáře vývoje a testování.
Úplný seznam omezení služby Application Gateway najdete na stránce Omezení služby Application Gateway.
Následující tabulka ukazuje průměrnou propustnost výkonu pro každou instanci aplikační brány v1 s povoleným přesměrováním zpracování SSL:
| Průměrná velikost odpovědi back-endové stránky | Malá | Střední | Velká |
|---|---|---|---|
| 6 kB | 7,5 Mb/s | 13 Mb/s | 50 Mb/s |
| 100 kB | 35 Mb/s | 100 Mb/s | 200 Mb/s |
Poznámka:
Tyto hodnoty jsou přibližné hodnoty propustnosti služby Application Gateway. Skutečná propustnost závisí na různých podrobnostech prostředí, jako je průměrná velikost stránky, umístění back-endových instancí a doba zpracování, která slouží na stránce. Přesné údaje o výkonu získáte, když spustíte vlastní testy. Tyto hodnoty slouží jenom jako vodítko při plánování kapacity.
Porovnání funkcí verzí
Porovnání funkcí služby Application Gateway v1-v2 najdete v tématu Co je Aplikace Azure Gateway v2.