Was ist Azure Application Gateway v2?

Application Gateway ist in einer Standard_v2-SKU erhältlich. Web Application Firewall (WAF) ist in einer WAF_v2-SKU erhältlich. Die v2-SKU bietet Leistungsverbesserungen und zusätzliche Unterstützung für wichtige neue Features wie automatische Skalierung und Zonenredundanz sowie Unterstützung für statische VIPs. Vorhandene Features in der Standard- and WAF-SKU werden in der neuen v2-SKU weiterhin unterstützt. Es gelten aber einige wenige Ausnahmen, die im Abschnitt mit dem Vergleich aufgeführt sind.

Die neue v2-SKU enthält die folgenden Verbesserungen:

  • TCP/TLS-Proxy (Vorschau): Azure Application Gateway unterstützt jetzt auch Layer-4-Proxying (TCP-Protokoll) und TLS-Proxying (Transport Layer Security). Dieses Feature ist zurzeit als öffentliche Preview verfügbar. Weitere Informationen finden Sie unter Übersicht über den TCP/TLS-Proxy des Anwendungsgateways.

  • Automatische Skalierung: Für Application Gateway- oder WAF-Bereitstellungen unter der SKU mit automatischer Skalierung ist nun das Hochskalieren und Herunterskalieren je nach Veränderung der Netzwerkdatenverkehr-Auslastungsmuster möglich. Durch die automatische Skalierung entfällt auch die Notwendigkeit, während des Bereitstellens eine Bereitstellungsgröße oder eine Anzahl von Instanzen auszuwählen. Diese SKU bietet wahre Elastizität. In der Standard_v2- und WAF_v2-SKU kann Application Gateway sowohl mit fester Kapazität (Autoskalierung deaktiviert) als auch mit aktivierter Autoskalierung betrieben werden. Der Modus mit fester Kapazität empfiehlt sich für Szenarien mit einheitlichen und vorhersagbaren Workloads. Der Modus mit automatischer Skalierung empfiehlt sich für Anwendungen, bei denen der Anwendungsdatenverkehr Schwankungen unterworfen ist.

  • Zonenredundanz: Eine Application Gateway- oder WAF-Bereitstellung kann sich über mehrere Verfügbarkeitszonen erstrecken, sodass nicht mehr in jeder Zone mit einem Traffic Manager separate Application Gateway-Instanzen bereitgestellt werden müssen. Sie können eine einzelne Zone oder mehrere Zonen mit bereitgestellten Application Gateway-Instanzen auswählen, um für größere Stabilität gegenüber Zonenausfällen zu sorgen. Der Back-End-Pool für Anwendungen kann auf ähnliche Weise auf Verfügbarkeitszonen verteilt werden.

    Zonenredundanz ist nur dort verfügbar, wo auch Azure-Zonen verfügbar sind. In anderen Regionen werden alle anderen Features unterstützt. Weitere Informationen finden Sie unter Was sind Verfügbarkeitszonen in Azure?.

  • Statische VIP: Die Application Gateway v2-SKU unterstützt exklusiv den statischen VIP-Typ. Dadurch wird sichergestellt, dass die dem Application Gateway zugeordnete VIP während des Lebenszyklus der Bereitstellung unverändert bleibt, selbst nach einem Neustart. Es gibt keine statische VIP in v1, daher müssen Sie für das Routing des Domänennamens an App Services über das Application Gateway die URL des Application Gateways anstelle der IP-Adresse verwenden.

  • Erneutes Generieren von Headern: Application Gateway ermöglicht Ihnen das Hinzufügen, Entfernen oder Aktualisieren von HTTP-Anforderungs- und Antwortheadern mit dem v2-SKU. Weitere Informationen finden Sie unter Erneutes Generieren von HTTP-Headern mit Application Gateway.

  • Key Vault-Integration: Application Gateway v2 unterstützt die Integration in Key Vault für Serverzertifikate, die HTTPS-fähigen Listenern zugeordnet sind. Weitere Informationen finden Sie unter TLS-Terminierung mit Key Vault-Zertifikaten.

  • Gegenseitige Authentifizierung (mTLS): Application Gateway v2 unterstützt die Authentifizierung von Clientanforderungen. Weitere Informationen finden Sie unter Übersicht über die gegenseitige Authentifizierung mit Application Gateway.

  • Azure Kubernetes Service-Eingangscontroller: Der Application Gateway v2-Eingangscontroller ermöglicht die Verwendung von Azure Application Gateway als Eingang für einen Azure Kubernetes Service (AKS), der als AKS-Cluster bezeichnet wird. Weitere Informationen finden Sie unter Was ist der Application Gateway-Eingangscontroller?.

  • Privater Link: Die v2 SKU bietet private Konnektivität von anderen virtuellen Netzwerken in anderen Regionen und Abonnements über die Verwendung privater Endpunkte.

  • Leistungsverbesserungen: Die v2-SKU bietet eine bis zu fünfmal bessere TLS-Auslagerungsleistung verglichen mit der Standard-/WAF-SKU.

  • Schnellere Bereitstellung und Aktualisierung: Die v2-SKU ermöglicht verglichen mit der Standard/WAF-SKU eine schnellere Bereitstellung und Aktualisierung. Dies umfasst auch Änderungen an der WAF-Konfiguration.

Diagramm der Zone mit automatischer Skalierung.

Nicht unterstützte Regionen

Die SKUs „Standard_v2“ und „WAF_v2“ sind derzeit in den folgenden Regionen nicht verfügbar:

  • Vereinigtes Königreich, Norden
  • Vereinigtes Königreich, Süden 2
  • China, Osten
  • China, Norden
  • US DoD, Osten
  • US DoD, Mitte

Preise

Bei der v2-SKU basiert das Preismodell auf der Nutzung und ist nicht mehr an die Anzahl oder Größe von Instanzen gebunden. Der Preis der v2-SKU setzt sich aus zwei Komponenten zusammen:

  • Festpreis: Dies ist der Preis pro Stunde (oder Teil einer Stunde) für die Bereitstellung eines Standard_v2- oder WAF_v2-Gateways. Beachten Sie, dass auch mit 0 zusätzlichen Mindestinstanzen weiterhin die Hochverfügbarkeit des Diensts gewährleistet wird, die grundsätzlich im Festpreis inbegriffen ist.
  • Preis nach Kapazitätseinheit: Dies sind die nutzungsbasierten Kosten, die zusätzlich zu den Fixkosten berechnet werden. Die Gebühr für Kapazitätseinheiten wird ebenfalls für volle oder teilweise Stunden berechnet. Die Kapazitätseinheit setzt sich aus drei Größen zusammen: Compute-Einheit, permanente Verbindungen und Durchsatz. Die Compute-Einheit ein Maß für die genutzte Prozessorkapazität. Faktoren, die sich auf die Compute-Einheit auswirken, sind TLS-Verbindungen/Sekunde, URL-Rewrite-Berechnungen und Verarbeitung von WAF-Regeln. Permanente Verbindung ist ein Maß für eingerichtete TCP-Verbindungen mit Application Gateway in einem bestimmten Abrechnungsintervall. Der Durchsatz ist die durchschnittliche Anzahl von Megabits pro Sekunde, die vom System in einem bestimmten Abrechnungsintervall verarbeitet werden. Die Abrechnung erfolgt für alles, was die reservierte Instanzanzahl übersteigt, auf Kapazitätseinheitsebene.

Jede Kapazitätseinheit setzt sich maximal zusammen aus: 1 Compute-Einheit, 2500 permanente Verbindungen und 2,22 MBit/s Durchsatz.

Weitere Informationen finden Sie unter Grundlegendes zu Preisen für Azure Application Gateway und Web Application Firewall.

Funktionsvergleich zwischen v1 SKU und v2 SKU

In der folgenden Tabelle werden die Features der einzelnen SKUs gegenübergestellt.

Funktion v1 SKU v2 SKU
Automatische Skalierung
Zonenredundanz
Statische VIP
AKS-Eingangscontroller (Azure Kubernetes Service)
Azure-Schlüsseltresor-Integration
Erneutes Generieren von HTTP(S)-Headern
Erweiterte Netzwerksteuerung (nur NSG, Routingtabelle, nur private Front-End-IP-Adressen)
URL-basiertes Routing
Hosten mehrerer Websites
Gegenseitige Authentifizierung (mTLS)
Private Link-Unterstützung
Umleitung des Datenverkehrs
Web Application Firewall (WAF)
Benutzerdefinierte WAF-Regeln
WAF-Richtlinienzuordnungen
Beendigung mit TLS (Transport Layer Security)/SSL (Secure Sockets Layer)
End-to-End-TLS-Verschlüsselung
Sitzungsaffinität
Benutzerdefinierte Fehlerseiten
WebSocket-Unterstützung
HTTP/2-Unterstützung
Verbindungsausgleich
Proxy-NTLM-Authentifizierung

Hinweis

Die v2-SKU mit automatischer Skalierung unterstützt nun Standardintegritätstests, um die Integrität aller Ressourcen im Back-End-Pool automatisch zu überwachen und solche Back-End-Elemente zu markieren, die als fehlerhaft gelten. Der Standardintegritätstest wird automatisch für Back-Ends konfiguriert, die keine benutzerdefinierte Testkonfiguration aufweisen. Weitere Informationen finden Sie unter Systemüberwachung des Application Gateways.

Unterschiede zur v1-SKU

In diesem Abschnitt werden die Features und Einschränkungen der v2-SKU beschrieben, die sich von denen der v1-SKU unterscheiden.

Unterschied Details
Mischen von Standard_v2 und Standardanwendungsgateway in demselben Subnetz Nicht unterstützt
Benutzerdefinierte Route im Application Gateway-Subnetz Informationen zu unterstützten Szenarien finden Sie unter Application Gateway-Konfiguration: Übersicht.
NSG für Eingangsportbereich - 65200 bis 65535 für Standard_v2-SKU
- 65503 bis 65534 für Standard-SKU.
Für v2-SKUs in der öffentlichen Vorschau nicht erforderlich. Weitere Informationen
Weitere Informationen finden Sie in den häufig gestellten Fragen.
Leistungsprotokolle in Azure-Diagnose Wird nicht unterstützt.
Es sollten Azure-Metriken verwendet werden.
FIPS-Modus Wird derzeit nicht unterstützt.
Privater Front-End-Konfigurationsmodus Aktuell in der öffentlichen Vorschau verfügbar. Weitere Informationen
Integration von Microsoft Defender für Cloud Noch nicht verfügbar.

Migrieren von v1 zu v2

Im PowerShell-Katalog ist ein Azure PowerShell-Skript verfügbar, mit dessen Hilfe Sie Ihr v1-Application Gateway / Ihre v1-WAF zur v2-SKU mit automatischer Skalierung migrieren können. Mithilfe dieses Skript können Sie die Konfiguration von Ihrem v1-Gateway kopieren. Die Datenverkehrsmigration liegt weiterhin in Ihrer Verantwortung. Weitere Informationen finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2.

Nächste Schritte

Je nach Ihren Anforderungen und der vorhandenen Umgebung können Sie eine Application Gateway-Testinstanz über das Azure-Portal, mithilfe von Azure PowerShell oder unter Verwendung der Azure-Befehlszeilenschnittstelle erstellen.