Qu’est-ce qu’Azure Application Gateway v2 ?
Application Gateway est disponible sous une référence SKU Standard_v2. Le pare-feu d’applications web (WAF) est disponible sous une référence WAF_v2. La référence SKU v2 offre des performances améliorées et prend en charge de nouvelles fonctionnalités critiques telles que la mise à l’échelle automatique, la redondance de zone et la prise en charge d'adresses IP virtuelles statiques. Les fonctionnalités existantes sous la référence SKU Standard et WAF continuent à être prises en charge dans la nouvelle référence SKU v2, à quelques exceptions près que vous trouverez dans la section relative aux comparaisons.
La nouvelle référence SKU v2 inclut les améliorations suivantes :
Proxy TCP/TLS (préversion): Azure Application Gateway prend désormais également en charge le proxy de couche 4 (protocole TCP) et TLS (Transport Layer Security). Cette fonctionnalité est actuellement disponible en préversion publique. Pour plus d’informations, consultez Vue d’ensemble du proxy TCP/TLS Application Gateway.
Mise à l’échelle automatique : les déploiements d’Application Gateway ou du WAF sous la référence SKU de la mise à l’échelle automatique peuvent augmenter ou diminuer en fonction de l’évolution des modèles de charge du trafic. La mise à l’échelle automatique vous évite aussi d’avoir à choisir une taille de déploiement ou un nombre d’instances au moment du provisionnement. Cette référence SKU offre une véritable élasticité. Dans la référence SKU Standard_v2 et WAF_v2, Application Gateway peut fonctionner à la fois en mode de capacité fixe (mise à l’échelle automatique désactivée) et en mode de mise à l’échelle automatique. Le mode de capacité fixe est utile pour les scénarios avec des charges de travail cohérentes et prévisibles. Le mode de mise à l’échelle automatique est utile dans les applications qui connaissent un trafic variable.
Redondance de zone : un déploiement d’Application Gateway ou de WAF peut désormais couvrir plusieurs zones de disponibilité, ce qui évite d’avoir à approvisionner plusieurs instances d’Application Gateway dans chaque zone à l’aide d’une instance Traffic Manager. Vous pouvez choisir une ou plusieurs zones où les instances d’Application Gateway sont déployées, ce qui renforce la résilience en cas d’échec de la zone. Le pool principal pour les applications peut être distribué de la même façon entre les différentes zones de disponibilité.
La redondance de zone est uniquement disponible dans les régions où les zones Azure sont disponibles. Dans les autres régions, toutes les autres fonctionnalités sont prises en charge. Pour plus d’informations, consultez Régions et zones de disponibilité dans Azure.
Adresse IP virtuelle statique : la référence SKU Application Gateway v2 prend exclusivement en charge le type d’adresse IP virtuelle statique. Ainsi, l’adresse IP virtuelle associée à Application Gateway ne change pas pendant toute la durée de vie du déploiement, même après un redémarrage. Il n’existe pas d’adresse IP virtuelle statique dans v1 ; vous devez donc utiliser l’URL de passerelle applicative plutôt que l’adresse IP pour router App Services vers la passerelle applicative.
Réécriture d’en-tête : Application Gateway vous permet d'ajouter, de supprimer ou de mettre à jour les en-têtes de requête et de réponse HTTP avec la référence SKU v2. Pour plus d’informations, consultez Réécrire des en-têtes HTTP avec Application Gateway.
Intégration dans Key Vault : Application Gateway v2 prend en charge l'intégration dans Key Vault des certificats de serveur associés à des écouteurs HTTPS. Pour plus d'informations, consultez Arrêt de TLS avec des certificats Key Vault.
Authentification mutuelle (mTLS) : Application Gateway v2 prend en charge l’authentification des demandes des clients. Pour plus d’informations, consultez Vue d’ensemble de l’authentification mutuelle avec Application Gateway.
Contrôleur d'entrée Azure Kubernetes Service : Le contrôleur d’entrée Application Gateway v2 permet l'utilisation d'Azure Application Gateway en tant qu'entrée pour un service Azure Kubernetes Service (AKS) appelé Cluster AKS. Pour plus d’informations, consultez Qu’est-ce que le contrôleur d’entrée Application Gateway.
Liaison privée : la référence SKU v2 offre une connectivité privée à partir d’autres réseaux virtuels dans d’autres régions et abonnements via l’utilisation de points de terminaison privés.
Amélioration des performances : la référence SKU v2 offre jusqu’à 5 fois plus de déchargement TLS que la référence SKU Standard/WAF.
Déploiement et mise à jour plus rapides : la référence SKU v2 permet un déploiement et une mise à jour plus rapides que la référence SKU standard/WAF. Elle inclut également des modifications de configuration WAF.
Régions non prises en charge
La référence SKU Standard_v2 et WAF_v2 n’est pas disponible dans les régions suivantes :
- Nord du Royaume-Uni
- Sud du Royaume-Uni 2
- Chine orientale
- Chine du Nord
- Est des États-Unis – US DoD
- Centre des États-Unis – US DoD
Tarification
Avec la référence SKU v2, le modèle de tarification est basé sur la consommation. Il n’est plus lié au nombre d’instances ou aux tailles. La tarification de la référence SKU v2 inclut deux composants :
- Prix fixe : correspond au prix horaire (ou heure entamée) pour approvisionner une passerelle Standard_v2 ou WAF_v2. Il est important de bien comprendre que l’option zéro instance minimale supplémentaire garantit quand même une haute disponibilité du service, et est toujours comprise dans le prix fixe.
- Prix des unités de capacité : correspond à un coût basé sur la consommation qui est facturé en plus du coût fixe. Les frais liés aux unités de capacité sont également calculés à l’heure ou partiellement à l’heure. Les unités de capacité incluent 3 dimensions : l’unité Compute, les connexions persistantes et le débit. L’unité Compute est une mesure de la capacité consommée du processeur. Les facteurs affectant l’unité Compute sont les connexions TLS/s, les calculs de réécriture d’URL et le traitement des règles WAF. Une connexion permanente est une mesure de connexions TCP établies vers la passerelle d’application à un intervalle de facturation donné. Le débit correspond à la moyenne des mégabits/s traités par le système à un intervalle de facturation donné. La facturation est effectuée à un niveau d’unité de capacité pour tout ce qui se trouve au-dessus du nombre d’instances réservées.
Chaque unité de capacité est composée au maximum de ce qui suit : 1 unité Compute, 2 500 connexions permanentes et 2,22 Mbits/s de débit.
Pour plus d’informations, consultez Compréhension de la tarification.
Comparaison des fonctionnalités des références SKU v1 et v2
Le tableau suivant répertorie les fonctionnalités disponibles avec chaque référence SKU.
| Fonctionnalité | Référence SKU v1 | Référence SKU v2 |
|---|---|---|
| Mise à l’échelle automatique | ✓ | |
| Redondance de zone | ✓ | |
| Adresse IP virtuelle statique | ✓ | |
| Contrôleur d’entrée Azure Kubernetes Service (AKS) | ✓ | |
| Intégration du coffre de clés Azure | ✓ | |
| Réécrire les en-têtes HTTP(S) | ✓ | |
| Contrôle réseau amélioré (groupe de sécurité réseau, table de routage, serveur IP front-end privé uniquement) | ✓ | |
| Routage basé sur des URL | ✓ | ✓ |
| Hébergement de plusieurs sites | ✓ | ✓ |
| Authentification mutuelle (mTLS) | ✓ | |
| Une prise Private Link | ✓ | |
| Redirection du trafic | ✓ | ✓ |
| Pare-feu d’applications web (WAF) | ✓ | ✓ |
| Règles personnalisées WAF | ✓ | |
| Associations de stratégies WAF | ✓ | |
| Arrêt de TLS (Transport Layer Security)/SSL (Secure Sockets Layer) | ✓ | ✓ |
| Chiffrement TSL de bout en bout | ✓ | ✓ |
| Affinité de session | ✓ | ✓ |
| Pages d’erreur personnalisées | ✓ | ✓ |
| Prise en charge de WebSocket | ✓ | ✓ |
| Assistance HTTP/2 | ✓ | ✓ |
| Vidage des connexions | ✓ | ✓ |
| Authentification NTLM du proxy | ✓ | |
| Encodage de règle basée sur le chemin d’accès | ✓ | |
| Chiffrements DHE | ✓ |
Notes
La référence SKU v2 avec mise à l’échelle automatique prend désormais en charge les sondes d’intégrité par défaut afin de superviser automatiquement l’intégrité de toutes les ressources dans son pool principal et de mettre en évidence les membres principaux considérés comme non sains. La sonde d’intégrité par défaut est automatiquement configurée pour les serveurs principaux ne disposant d'aucune configuration de sonde personnalisée. Pour plus d’informations, consultez Sondes d’intégrité dans Application Gateway.
Différences par rapport à la référence (SKU) v1
Cette section décrit les fonctionnalités et les limitations de la référence (SKU) v2 qui diffèrent de celles de la référence (SKU) v1.
| Différence | Détails |
|---|---|
| Combinaison de Standard_v2 et Standard Application Gateway sur le même sous-réseau | Non pris en charge |
| Itinéraire défini par l’utilisateur sur le sous-réseau d’Application Gateway | Pour obtenir des informations sur des scénarios pris en charge, voir Présentation de la configuration d’Application Gateway. |
| Groupe de sécurité réseau pour plage de ports entrants | - 65 200 à 65 535 pour référence (SKU) Standard_v2 - 65 503 à 65 534 pour référence (SKU) Standard Non requis pour les références SKU v2 en préversion publique En savoir plus. Pour plus d’informations, visitez le FAQ. |
| Journaux d’activité de performances dans les diagnostics Azure | Non pris en charge. Les métriques Azure doivent être utilisées. |
| Mode FIPS | Non prise en charge. |
| Mode de configuration front-end privé uniquement | Actuellement en préversion publique En savoir plus. |
| Encodage de règle basée sur le chemin d’accès | Non pris en charge. V2 décode les chemins d’accès avant le routage. Par exemple, V2 traite /abc%2Fdef comme /abc/def. |
| Transfert de fichiers mémorisés en bloc | Dans la configuration Standard_V2, désactivez la mise en mémoire tampon des requêtes pour prendre en charge le transfert de fichiers mémorisés en bloc. Dans WAF_V2, la désactivation de la mise en mémoire tampon des requêtes n’est pas possible, car il faut examiner l’intégralité de la requête pour détecter et bloquer les menaces. Par conséquent, l’alternative suggérée consiste à créer une règle de chemin d’accès pour l’URL affectée, et à attacher une stratégie WAF désactivée à cette règle de chemin d’accès. |
| Affinité de cookies | La version V2 actuelle ne prend pas en charge l’ajout du domaine dans l’affinité de session Set-Cookie, ce qui signifie que le cookie ne peut pas être utilisé par le client pour les sous-domaines. |
| Intégration de Microsoft Defender pour le cloud | Pas encore disponible. |
Effectuer la migration de la version 1 à la version 2
Un script Azure PowerShell est disponible dans la galerie PowerShell pour vous aider à migrer de v1 Application Gateway/WAF vers la référence SKU de mise à l'échelle automatique v2. Ce script vous permet de copier la configuration à partir de votre passerelle v1. La migration de trafic relève toujours de votre responsabilité. Pour plus d’informations, consultez Migrer Azure Application Gateway de la version v1 vers la version v2.
Étapes suivantes
Selon vos besoins et votre environnement, vous pouvez créer une passerelle Application Gateway test avec le portail Azure, Azure PowerShell ou Azure CLI.