Was ist Azure Application Gateway v2?
Application Gateway ist in einer Standard_v2-SKU erhältlich. Web Application Firewall (WAF) ist in einer WAF_v2-SKU erhältlich. Die v2-SKU bietet Leistungsverbesserungen und zusätzliche Unterstützung für wichtige neue Features wie automatische Skalierung und Zonenredundanz sowie Unterstützung für statische VIPs. Vorhandene Features in der Standard- and WAF-SKU werden in der neuen v2-SKU weiterhin unterstützt. Es gelten aber einige wenige Ausnahmen, die im Abschnitt mit dem Vergleich aufgeführt sind.
Die neue v2-SKU enthält die folgenden Verbesserungen:
TCP/TLS-Proxy (Vorschau): Azure Application Gateway unterstützt jetzt auch Layer-4-Proxying (TCP-Protokoll) und TLS-Proxying (Transport Layer Security). Dieses Feature ist zurzeit als öffentliche Preview verfügbar. Weitere Informationen finden Sie unter Übersicht über den TCP/TLS-Proxy des Anwendungsgateways.
Automatische Skalierung: Für Application Gateway- oder WAF-Bereitstellungen unter der SKU mit automatischer Skalierung ist nun das Hochskalieren und Herunterskalieren je nach Veränderung der Netzwerkdatenverkehr-Auslastungsmuster möglich. Durch die automatische Skalierung entfällt auch die Notwendigkeit, während des Bereitstellens eine Bereitstellungsgröße oder eine Anzahl von Instanzen auszuwählen. Diese SKU bietet wahre Elastizität. In der Standard_v2- und WAF_v2-SKU kann Application Gateway sowohl mit fester Kapazität (Autoskalierung deaktiviert) als auch mit aktivierter Autoskalierung betrieben werden. Der Modus mit fester Kapazität empfiehlt sich für Szenarien mit einheitlichen und vorhersagbaren Workloads. Der Modus mit automatischer Skalierung empfiehlt sich für Anwendungen, bei denen der Anwendungsdatenverkehr Schwankungen unterworfen ist.
Zonenredundanz: Eine Application Gateway- oder WAF-Bereitstellung kann sich über mehrere Verfügbarkeitszonen erstrecken, sodass nicht mehr in jeder Zone mit einem Traffic Manager separate Application Gateway-Instanzen bereitgestellt werden müssen. Sie können eine einzelne Zone oder mehrere Zonen mit bereitgestellten Application Gateway-Instanzen auswählen, um für größere Stabilität gegenüber Zonenausfällen zu sorgen. Der Back-End-Pool für Anwendungen kann auf ähnliche Weise auf Verfügbarkeitszonen verteilt werden.
Zonenredundanz ist nur dort verfügbar, wo auch Azure-Zonen verfügbar sind. In anderen Regionen werden alle anderen Features unterstützt. Weitere Informationen finden Sie unter Was sind Verfügbarkeitszonen in Azure?.
Statische VIP: Die Application Gateway v2-SKU unterstützt exklusiv den statischen VIP-Typ. Dadurch wird sichergestellt, dass die dem Application Gateway zugeordnete VIP während des Lebenszyklus der Bereitstellung unverändert bleibt, selbst nach einem Neustart. Es gibt keine statische VIP in v1, daher müssen Sie für das Routing des Domänennamens an App Services über das Application Gateway die URL des Application Gateways anstelle der IP-Adresse verwenden.
Erneutes Generieren von Headern: Application Gateway ermöglicht Ihnen das Hinzufügen, Entfernen oder Aktualisieren von HTTP-Anforderungs- und Antwortheadern mit dem v2-SKU. Weitere Informationen finden Sie unter Erneutes Generieren von HTTP-Headern mit Application Gateway.
Key Vault-Integration: Application Gateway v2 unterstützt die Integration in Key Vault für Serverzertifikate, die HTTPS-fähigen Listenern zugeordnet sind. Weitere Informationen finden Sie unter TLS-Terminierung mit Key Vault-Zertifikaten.
Gegenseitige Authentifizierung (mTLS): Application Gateway v2 unterstützt die Authentifizierung von Clientanforderungen. Weitere Informationen finden Sie unter Übersicht über die gegenseitige Authentifizierung mit Application Gateway.
Azure Kubernetes Service-Eingangscontroller: Der Application Gateway v2-Eingangscontroller ermöglicht die Verwendung von Azure Application Gateway als Eingang für einen Azure Kubernetes Service (AKS), der als AKS-Cluster bezeichnet wird. Weitere Informationen finden Sie unter Was ist der Application Gateway-Eingangscontroller?.
Privater Link: Die v2 SKU bietet private Konnektivität von anderen virtuellen Netzwerken in anderen Regionen und Abonnements über die Verwendung privater Endpunkte.
Leistungsverbesserungen: Die v2-SKU bietet eine bis zu fünfmal bessere TLS-Auslagerungsleistung verglichen mit der Standard-/WAF-SKU.
Schnellere Bereitstellung und Aktualisierung: Die v2-SKU ermöglicht verglichen mit der Standard/WAF-SKU eine schnellere Bereitstellung und Aktualisierung. Dies umfasst auch Änderungen an der WAF-Konfiguration.
Nicht unterstützte Regionen
Die SKUs „Standard_v2“ und „WAF_v2“ sind derzeit in den folgenden Regionen nicht verfügbar:
- Vereinigtes Königreich, Norden
- Vereinigtes Königreich, Süden 2
- China, Osten
- China, Norden
- US DoD, Osten
- US DoD, Mitte
Preise
Bei der v2-SKU basiert das Preismodell auf der Nutzung und ist nicht mehr an die Anzahl oder Größe von Instanzen gebunden. Der Preis der v2-SKU setzt sich aus zwei Komponenten zusammen:
- Festpreis: Dies ist der Preis pro Stunde (oder Teil einer Stunde) für die Bereitstellung eines Standard_v2- oder WAF_v2-Gateways. Beachten Sie, dass auch mit 0 zusätzlichen Mindestinstanzen weiterhin die Hochverfügbarkeit des Diensts gewährleistet wird, die grundsätzlich im Festpreis inbegriffen ist.
- Preis nach Kapazitätseinheit: Dies sind die nutzungsbasierten Kosten, die zusätzlich zu den Fixkosten berechnet werden. Die Gebühr für Kapazitätseinheiten wird ebenfalls für volle oder teilweise Stunden berechnet. Die Kapazitätseinheit setzt sich aus drei Größen zusammen: Compute-Einheit, permanente Verbindungen und Durchsatz. Die Compute-Einheit ein Maß für die genutzte Prozessorkapazität. Faktoren, die sich auf die Compute-Einheit auswirken, sind TLS-Verbindungen/Sekunde, URL-Rewrite-Berechnungen und Verarbeitung von WAF-Regeln. Permanente Verbindung ist ein Maß für eingerichtete TCP-Verbindungen mit Application Gateway in einem bestimmten Abrechnungsintervall. Der Durchsatz ist die durchschnittliche Anzahl von Megabits pro Sekunde, die vom System in einem bestimmten Abrechnungsintervall verarbeitet werden. Die Abrechnung erfolgt für alles, was die reservierte Instanzanzahl übersteigt, auf Kapazitätseinheitsebene.
Jede Kapazitätseinheit setzt sich maximal zusammen aus: 1 Compute-Einheit, 2500 permanente Verbindungen und 2,22 MBit/s Durchsatz.
Weitere Informationen finden Sie unter Grundlegendes zu Preisen für Azure Application Gateway und Web Application Firewall.
Funktionsvergleich zwischen v1 SKU und v2 SKU
In der folgenden Tabelle werden die Features der einzelnen SKUs gegenübergestellt.
Funktion | v1 SKU | v2 SKU |
---|---|---|
Automatische Skalierung | ✓ | |
Zonenredundanz | ✓ | |
Statische VIP | ✓ | |
AKS-Eingangscontroller (Azure Kubernetes Service) | ✓ | |
Azure-Schlüsseltresor-Integration | ✓ | |
Erneutes Generieren von HTTP(S)-Headern | ✓ | |
Erweiterte Netzwerksteuerung (nur NSG, Routingtabelle, nur private Front-End-IP-Adressen) | ✓ | |
URL-basiertes Routing | ✓ | ✓ |
Hosten mehrerer Websites | ✓ | ✓ |
Gegenseitige Authentifizierung (mTLS) | ✓ | |
Private Link-Unterstützung | ✓ | |
Umleitung des Datenverkehrs | ✓ | ✓ |
Web Application Firewall (WAF) | ✓ | ✓ |
Benutzerdefinierte WAF-Regeln | ✓ | |
WAF-Richtlinienzuordnungen | ✓ | |
Beendigung mit TLS (Transport Layer Security)/SSL (Secure Sockets Layer) | ✓ | ✓ |
End-to-End-TLS-Verschlüsselung | ✓ | ✓ |
Sitzungsaffinität | ✓ | ✓ |
Benutzerdefinierte Fehlerseiten | ✓ | ✓ |
WebSocket-Unterstützung | ✓ | ✓ |
HTTP/2-Unterstützung | ✓ | ✓ |
Verbindungsausgleich | ✓ | ✓ |
Proxy-NTLM-Authentifizierung | ✓ |
Hinweis
Die v2-SKU mit automatischer Skalierung unterstützt nun Standardintegritätstests, um die Integrität aller Ressourcen im Back-End-Pool automatisch zu überwachen und solche Back-End-Elemente zu markieren, die als fehlerhaft gelten. Der Standardintegritätstest wird automatisch für Back-Ends konfiguriert, die keine benutzerdefinierte Testkonfiguration aufweisen. Weitere Informationen finden Sie unter Systemüberwachung des Application Gateways.
Unterschiede zur v1-SKU
In diesem Abschnitt werden die Features und Einschränkungen der v2-SKU beschrieben, die sich von denen der v1-SKU unterscheiden.
Unterschied | Details |
---|---|
Mischen von Standard_v2 und Standardanwendungsgateway in demselben Subnetz | Nicht unterstützt |
Benutzerdefinierte Route im Application Gateway-Subnetz | Informationen zu unterstützten Szenarien finden Sie unter Application Gateway-Konfiguration: Übersicht. |
NSG für Eingangsportbereich | - 65200 bis 65535 für Standard_v2-SKU - 65503 bis 65534 für Standard-SKU. Für v2-SKUs in der öffentlichen Vorschau nicht erforderlich. Weitere Informationen Weitere Informationen finden Sie in den häufig gestellten Fragen. |
Leistungsprotokolle in Azure-Diagnose | Wird nicht unterstützt. Es sollten Azure-Metriken verwendet werden. |
FIPS-Modus | Wird derzeit nicht unterstützt. |
Privater Front-End-Konfigurationsmodus | Aktuell in der öffentlichen Vorschau verfügbar. Weitere Informationen |
Integration von Microsoft Defender für Cloud | Noch nicht verfügbar. |
Migrieren von v1 zu v2
Im PowerShell-Katalog ist ein Azure PowerShell-Skript verfügbar, mit dessen Hilfe Sie Ihr v1-Application Gateway / Ihre v1-WAF zur v2-SKU mit automatischer Skalierung migrieren können. Mithilfe dieses Skript können Sie die Konfiguration von Ihrem v1-Gateway kopieren. Die Datenverkehrsmigration liegt weiterhin in Ihrer Verantwortung. Weitere Informationen finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2.
Nächste Schritte
Je nach Ihren Anforderungen und der vorhandenen Umgebung können Sie eine Application Gateway-Testinstanz über das Azure-Portal, mithilfe von Azure PowerShell oder unter Verwendung der Azure-Befehlszeilenschnittstelle erstellen.