¿Qué es Azure Application Gateway v2?

Application Gateway está disponible en una SKU Standard_v2. El firewall de aplicaciones web (WAF) está disponible en una SKU WAF_v2. La SKU v2 ofrece mejoras de rendimiento y agrega compatibilidad con nuevas características esenciales, como el escalado automático, la redundancia de zona y las IP virtuales estáticas. La nueva SKU v2 sigue admitiendo las características existentes en la SKU Standard y WAF, salvo algunas excepciones que se indican en la sección de comparación.

La nueva SKU v2 incluye las siguientes mejoras:

  • Proxy TCP/TLS (versión preliminar): Azure Application Gateway ahora también admite proxy de capa 4 (protocolo TCP) y TLS (seguridad de la capa de transporte). Esta característica actualmente está en su versión preliminar pública. Para obtener más información, consulte Introducción al proxy TCP/TLS de Application Gateway.

  • Escalabilidad automática: Las implementaciones de Application Gateway o WAF en la SKU de escalado automático pueden escalar o reducir horizontalmente en función de los patrones de carga de tráfico cambiantes. La escalabilidad automática también elimina el requisito de tener elegir un tamaño de implementación o un número de instancias durante el aprovisionamiento. Esta SKU ofrece verdadera elasticidad. En la SKU Standard_v2 y WAF_v2, Application Gateway puede funcionar con una capacidad fija (escalabilidad automática deshabilitada) y en modo de escalabilidad automática habilitada. El modo de capacidad fija es útil para escenarios con cargas de trabajo coherentes y predecibles. El modo de escalabilidad automática es útil en aplicaciones que tendrán variación en el tráfico de las aplicaciones.

  • Redundancia de zona: una implementación de Application Gateway o WAF puede abarcar varias zonas de disponibilidad, lo que elimina la necesidad de aprovisionar instancias de Application Gateway independientes en cada zona con una instancia de Traffic Manager. Puede elegir una o varias zonas donde se implementarán las instancias de Application Gateway, lo que mejora la resistencia ante errores de zona. El grupo de back-end de las aplicaciones se puede distribuir de manera similar entre las zonas de disponibilidad.

    La redundancia de zona están disponibles solo donde estén disponibles las zonas de Azure. En otras regiones, se admiten todas las demás características. Para obtener más información, consulte Regiones y zonas de disponibilidad en Azure

  • VIP estática: la SKU v2 de Application Gateway admite ahora exclusivamente el tipo de IP virtual estática. Con esto se garantiza que la IP virtual asociada a la puerta de enlace de aplicaciones no cambia durante la vigencia de la implementación, ni siquiera tras un reinicio. No hay una IP virtual estática en la v1, por lo que debe usar la URL de la puerta de enlace de aplicaciones en lugar de la dirección IP para el enrutamiento del nombre de dominio a App Services a través de la puerta de enlace de aplicaciones.

  • Reescritura de encabezados: Application Gateway permite agregar, quitar o actualizar los encabezados de solicitud y respuesta HTTP con la SKU v2. Para más información, consulte Rescritura de encabezados HTTP con Application Gateway.

  • Integración de Key Vault: Application Gateway v2 admite la integración con Key Vault para certificados de servidor adjuntos a clientes de escucha con HTTPS habilitado. Para obtener más información, consulte Terminación TLS con certificados de Key Vault.

  • Autenticación mutua (mTLS): Application Gateway v2 admite la autenticación de solicitudes de cliente. Para obtener más información, consulte Introducción a la autenticación mutua con Application Gateway.

  • Controlador de entrada de Azure Kubernetes Service (AKS) : El controlador de entrada de Application Gateway v2 permite que Azure Application Gateway se utilice como entrada para una instancia de Azure Kubernetes Service (AKS) llamada clúster AKS. Para obtener más información, consulte ¿Qué es el controlador de entrada de Application Gateway?

  • Vínculo privado: la SKU v2 ofrece conectividad privada desde otras redes virtuales de otras regiones y suscripciones mediante el uso de puntos de conexión privados.

  • Mejoras de rendimiento: la SKU v2 ofrece un rendimiento cinco veces superior en la descarga de TLS en comparación con la SKU Standard/WAF.

  • Menores tiempos de implementación y actualización: la SKU v2 proporciona menores tiempos de implementación y actualización en comparación con la SKU estándar/WAF. Esto también incluye los cambios de configuración en WAF.

Diagrama de zona de ajuste de escala automático.

Regiones no admitidas

Actualmente, la SKU Standard_v2 y WAF_v2 no está disponible en las siguientes regiones:

  • Norte de Reino Unido
  • Sur de Reino Unido 2
  • Este de China
  • Norte de China
  • Departamento de Defensa del este de EE. UU.
  • US DoD centro

Precios

Con la SKU v2, el modelo de precios está orientado al consumo y ya no está asociado a recuentos de instancias o tamaños. El modelo de precios de la SKU v2 presenta dos componentes:

  • Precio fijo: precio por hora (o por fracción de hora) para aprovisionar una instancia de Gateway Standard_v2 o WAF_v2. Tenga en cuenta que 0 instancias mínimas adicionales todavía garantizan una alta disponibilidad del servicio que siempre se incluye con el precio fijo.
  • Precio por unidad de capacidad: se trata del costo basado en el consumo que se suma al costo fijo. La unidad de capacidad se cobra también por hora o fracciones de hora de proceso. Hay tres dimensiones para la unidad de capacidad: unidad de proceso, conexiones persistentes y rendimiento. La unidad de proceso es una medida de la capacidad de procesador consumida. Los factores que afectan a la unidad de proceso son las conexiones TLS/seg, los cálculos de reescritura de direcciones URL y el procesamiento de reglas de WAF. La conexión persistente es una medida de las conexiones TCP establecidas para la puerta de enlace de aplicaciones en un intervalo de facturación determinado. El rendimiento es el promedio de megabits/seg procesados por el sistema en un intervalo de facturación determinado. La facturación se realiza en un nivel de unidad de capacidad para cualquier elemento que esté por encima del número de instancias reservadas.

Cada unidad de capacidad se compone a lo sumo de: 1 unidad de proceso, 2500 conexiones persistentes y rendimiento de 2,22 Mbps.

Para obtener más información, consulte Explicación de los precios.

Comparación de características entre SKU v1 y SKU v2

En la tabla siguiente se comparan las características disponibles con cada SKU.

Característica SKU v1 SKU v2
Escalado automático
Redundancia de zona
IP virtual estática
Controlador de entrada de Azure Kubernetes Service (AKS)
Integración de Azure Key Vault
Reescritura de encabezados HTTP(S)
Control de red mejorado (NSG, tabla de rutas, solo front-end de IP privada)
Enrutamiento basado en dirección URL
Hospedaje de varios sitios
Autenticación mutua (mTLS)
Compatibilidad con Private Link
Redireccionamiento de tráfico
Firewall de aplicaciones web (WAF)
Reglas personalizadas del firewall de aplicaciones web
Asociaciones de directivas WAF
Terminación de la Seguridad de la capa de transporte (TLS) o Capa de sockets seguros (SSL)
Cifrado TLS de un extremo a otro
Afinidad de sesión
Páginas de error personalizadas
Compatibilidad con WebSocket
Compatibilidad con HTTP/2
Purga de la conexión
Autenticación de NTLM del proxy

Nota

La SKU v2 de escalado automático ahora admite sondeos de estado predeterminados para supervisar automáticamente el estado de todos los recursos en su grupo de back-end y resaltar aquellos miembros de back-end que se considere que no están en buen estado. El sondeo de estado predeterminado se configura automáticamente para back-ends que no tienen ninguna configuración de sondeo personalizado. Para obtener más información, consulte Información general sobre la supervisión de estado de la puerta de enlace de aplicaciones.

Diferencias respecto a la SKU v1

En esta sección se describen las características y limitaciones de la SKU v2 que difieren de la SKU v1.

Diferencia Detalles
Combinación de Application Gateway Standard y Standard_v2 en la misma subred No compatible
Ruta definida por el usuario (UDR) en la subred de Application Gateway Para obtener información sobre los escenarios admitidos, consulte Introducción a la configuración de Application Gateway.
NSG para el intervalo de puertos de entrada - 65200 a 65535 para la SKU Standard_v2
- 65503 a 65534 para la SKU Standard.
No es necesario para las SKU v2 en versión preliminar pública Más información.
Para más información, consulte las preguntas más frecuentes.
Registros de rendimiento en Azure Diagnostics No compatible.
Se deben usar las métricas de Azure.
Modo FIPS No se admite actualmente.
Modo de configuración de solo front-end privado Actualmente en versión preliminar pública Más información.
Integración de Microsoft Defender para la nube No disponible todavía.

Migración de v1 a v2

Hay un script de Azure PowerShell disponible en la galería de PowerShell para ayudarle a migrar desde la v1 de Application Gateway/WAF al SKU de escalado automático v2. Este script le ayuda a copiar la configuración de la puerta de enlace v1. La migración del tráfico sigue siendo su responsabilidad. Para más información, consulte Migración de Azure Application Gateway de v1 a v2.

Pasos siguientes

Según los requisitos y el entorno, puede crear una instancia de Application Gateway de prueba mediante Azure Portal, Azure PowerShell o la CLI de Azure.