Qu’est-ce qu’Azure Application Gateway v2 ?
Application Gateway v2 est la dernière version d’Application Gateway. Elle offre des avantages par rapport à Application Gateway v1, comme des améliorations de performances, la mise à l’échelle automatique, la redondance de zone et les adresses IP virtuelles statiques.
Important
La dépréciation d’Application Gateway V1 a été annoncée le 28 avril 2023. Si vous utilisez la référence SKU Application Gateway V1, commencez à planifier votre migration vers V2 maintenant et effectuez votre migration vers Application Gateway v2 d’ici le 28 avril 2026. Le service v1 n’est plus pris en charge après cette date.
Fonctionnalités clés
La nouvelle référence SKU v2 comprend les améliorations suivantes :
Proxy TCP/TLS (préversion): Azure Application Gateway prend désormais également en charge le proxy de couche 4 (protocole TCP) et TLS (Transport Layer Security). Cette fonctionnalité est actuellement disponible en préversion publique. Pour plus d’informations, consultez Vue d’ensemble du proxy TCP/TLS Application Gateway.
Mise à l’échelle automatique : les déploiements d’Application Gateway ou du WAF sous la référence SKU de la mise à l’échelle automatique peuvent augmenter ou diminuer en fonction de l’évolution des modèles de charge du trafic. La mise à l’échelle automatique vous évite aussi d’avoir à choisir une taille de déploiement ou un nombre d’instances au moment du provisionnement. Cette référence SKU offre une véritable élasticité. Dans la référence SKU Standard_v2 et WAF_v2, Application Gateway peut fonctionner à la fois en mode de capacité fixe (mise à l’échelle automatique désactivée) et en mode de mise à l’échelle automatique. Le mode de capacité fixe est utile pour les scénarios avec des charges de travail cohérentes et prévisibles. Le mode de mise à l’échelle automatique est utile dans les applications qui connaissent un trafic variable.
Redondance de zone : un déploiement d’Application Gateway ou de WAF peut désormais couvrir plusieurs zones de disponibilité, ce qui évite d’avoir à approvisionner plusieurs instances d’Application Gateway dans chaque zone à l’aide d’une instance Traffic Manager. Vous pouvez choisir une ou plusieurs zones où les instances d’Application Gateway sont déployées, ce qui renforce la résilience en cas d’échec de la zone. Le pool principal pour les applications peut être distribué de la même façon entre les différentes zones de disponibilité.
La redondance de zone est uniquement disponible dans les régions où les zones Azure sont disponibles. Dans les autres régions, toutes les autres fonctionnalités sont prises en charge. Pour plus d’informations, consultez Régions et zones de disponibilité dans Azure.
Adresse IP virtuelle statique : la référence SKU Application Gateway v2 prend exclusivement en charge le type d’adresse IP virtuelle statique. L’adresse IP virtuelle statique garantit que l’adresse IP virtuelle associée à la passerelle applicative ne change pas pendant le cycle de vie du déploiement, même après un redémarrage. Vous ne devez pas utiliser l’URL de la passerelle applicative pour router le nom de domaine vers App Services via la passerelle applicative, car v1 n’a pas d’adresse IP virtuelle statique.
Réécriture d’en-tête : Application Gateway vous permet d'ajouter, de supprimer ou de mettre à jour les en-têtes de requête et de réponse HTTP avec la référence SKU v2. Pour plus d’informations, consultez Réécrire des en-têtes HTTP avec Application Gateway.
Intégration dans Key Vault : Application Gateway v2 prend en charge l'intégration dans Key Vault des certificats de serveur associés à des écouteurs HTTPS. Pour plus d'informations, consultez Arrêt de TLS avec des certificats Key Vault.
Authentification mutuelle (mTLS) : Application Gateway v2 prend en charge l’authentification des demandes des clients. Pour plus d’informations, consultez Vue d’ensemble de l’authentification mutuelle avec Application Gateway.
Contrôleur d'entrée Azure Kubernetes Service : Le contrôleur d’entrée Application Gateway v2 permet l'utilisation d'Azure Application Gateway en tant qu'entrée pour un service Azure Kubernetes Service (AKS) appelé Cluster AKS. Pour plus d’informations, consultez Qu’est-ce que le contrôleur d’entrée Application Gateway.
Liaison privée : la référence SKU v2 offre une connectivité privée à partir d’autres réseaux virtuels dans d’autres régions et abonnements en utilisant des points de terminaison privés.
Amélioration des performances : la référence SKU v2 offre jusqu’à 5 fois plus de déchargement TLS que la référence SKU Standard/WAF.
Déploiement et mise à jour plus rapides : la référence SKU v2 permet un déploiement et une mise à jour plus rapides que la référence SKU standard/WAF. Le délai plus rapide comprend également des changements de configuration WAF.
Remarque
Certaines fonctionnalités listées ici dépendent du type de référence SKU.
Types de référence SKU
Application Gateway v2 est disponible sous deux références SKU :
- De base (préversion) : la référence SKU de base est conçue pour les applications qui ont des exigences de trafic et de contrat SLA inférieures, et qui n’ont pas besoin de fonctionnalités avancées de gestion du trafic. Pour plus d’informations sur l’inscription à la préversion publique de la référence SKU de base d’Application Gateway, consultez S’inscrire à la préversion.
- Référence SKU Standard_v2 : la référence SKU Standard_v2 est conçue pour les charges de travail de production en cours d’exécution et avec un trafic élevé. Elle comprend également la mise à l’échelle automatique qui peut ajuster automatiquement le nombre d’instances en fonction de vos besoins de trafic.
Le tableau suivant affiche une comparaison entre les références SKU de base et Standard_v2.
| Fonctionnalité | Fonctionnalités | Référence SKU de base (préversion) | Référence Standard |
|---|---|---|---|
| Fiabilité | CONTRAT SLA | 99,9 | 99,95 |
| Fonctionnalités - de base | HTTP/HTTP2/HTTPS WebSocket IP publique/privée Affinité de cookies Affinité basée sur le chemin Caractère générique Multisite KeyVault Zone Réécriture d’en-tête |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
| Fonctionnalités - avancées | AKS (via AGIC) Réécrire URL mTLS Liaison privée Privé uniquement (préversion) Proxy TCP/TLS (préversion) |
✓ ✓ ✓ ✓ ✓ ✓ |
|
| Scale | Bande passante connexions par seconde Nombre d’écouteurs Nombre de pools de back-ends Nombre de serveurs de back-end par pool Nombre de règles |
2001 5 5 5 5 |
625001 100 100 1200 400 |
| Unité de capacité | Connexions par seconde par unité de calcul Débit Nouvelles connexions persistantes |
10 2,22 Mbits/s 2500 |
50 2,22 Mbits/s 2500 |
1Estimé en fonction de l’utilisation d’un certificat TLS avec une clé RSA 2048 bits.
Tarification
Avec la référence SKU v2, la consommation détermine le modèle tarifaire, qui ne dépend plus du nombre ou de la taille des instances. Pour plus d’informations, consultez Compréhension de la tarification.
Régions non prises en charge
Actuellement, les références SKU Standard_v2 et WAF_v2 ne sont pas disponibles dans les régions suivantes :
- Chine orientale
- Chine du Nord
- Est des États-Unis – US DoD
- Centre des États-Unis – US DoD
Effectuer la migration de la version 1 à la version 2
Un script Azure PowerShell est disponible dans la galerie PowerShell pour vous aider à migrer de v1 Application Gateway/WAF vers la référence SKU de mise à l'échelle automatique v2. Ce script vous permet de copier la configuration à partir de votre passerelle v1. La migration de trafic relève toujours de votre responsabilité. Pour plus d’informations, consultez Migrer Azure Application Gateway de la version v1 vers la version v2.
Comparaison des fonctionnalités des références SKU v1 et v2
Le tableau suivant répertorie les fonctionnalités disponibles avec chaque référence SKU.
| Fonctionnalité | Référence SKU v1 | Référence SKU v2 |
|---|---|---|
| Mise à l’échelle automatique | ✓ | |
| Redondance de zone | ✓ | |
| Adresse IP virtuelle statique | ✓ | |
| Contrôleur d’entrée Azure Kubernetes Service (AKS) | ✓ | |
| Intégration du coffre de clés Azure | ✓ | |
| Réécrire les en-têtes HTTP(S) | ✓ | |
| Contrôle réseau amélioré (groupe de sécurité réseau, table de routage, serveur IP front-end privé uniquement) | ✓ | |
| Routage basé sur des URL | ✓ | ✓ |
| Hébergement de plusieurs sites | ✓ | ✓ |
| Authentification mutuelle (mTLS) | ✓ | |
| Une prise Private Link | ✓ | |
| Redirection du trafic | ✓ | ✓ |
| Pare-feu d’applications web (WAF) | ✓ | ✓ |
| Règles personnalisées WAF | ✓ | |
| Associations de stratégies WAF | ✓ | |
| Arrêt de TLS (Transport Layer Security)/SSL (Secure Sockets Layer) | ✓ | ✓ |
| Chiffrement TSL de bout en bout | ✓ | ✓ |
| Affinité de session | ✓ | ✓ |
| Pages d’erreur personnalisées | ✓ | ✓ |
| Prise en charge de WebSocket | ✓ | ✓ |
| Assistance HTTP/2 | ✓ | ✓ |
| Vidage des connexions | ✓ | ✓ |
| Authentification NTLM du proxy | ✓ | |
| Encodage de règle basée sur le chemin d’accès | ✓ | |
| Chiffrements DHE | ✓ |
Notes
La référence SKU v2 avec mise à l’échelle automatique prend désormais en charge les sondes d’intégrité par défaut afin de superviser automatiquement l’intégrité de toutes les ressources dans son pool principal et de mettre en évidence les membres principaux considérés comme non sains. La sonde d’intégrité par défaut est automatiquement configurée pour les serveurs principaux ne disposant d'aucune configuration de sonde personnalisée. Pour plus d’informations, consultez Sondes d’intégrité dans Application Gateway.
Différences par rapport à la référence SKU v1
Cette section décrit les fonctionnalités et les limitations de la référence (SKU) v2 qui diffèrent de celles de la référence (SKU) v1.
| Différence | Détails |
|---|---|
| Combinaison de Standard_v2 et Standard Application Gateway sur le même sous-réseau | Non pris en charge |
| Itinéraire défini par l’utilisateur sur le sous-réseau d’Application Gateway | Pour obtenir des informations sur des scénarios pris en charge, voir Présentation de la configuration d’Application Gateway. |
| Groupe de sécurité réseau pour plage de ports entrants | - 65 200 à 65 535 pour référence (SKU) Standard_v2 - 65 503 à 65 534 pour référence (SKU) Standard Non requis pour les références SKU v2 en préversion publique En savoir plus. Pour plus d’informations, visitez le FAQ. |
| Journaux d’activité de performances dans les diagnostics Azure | Non pris en charge. Les métriques Azure doivent être utilisées. |
| Mode FIPS | Non prise en charge. |
| Mode de configuration front-end privé uniquement | Actuellement en préversion publique En savoir plus. |
| Encodage de règle basée sur le chemin d’accès | Non pris en charge. V2 décode les chemins d’accès avant le routage. Par exemple, V2 traite /abc%2Fdef comme /abc/def. |
| Transfert de fichiers mémorisés en bloc | Dans la configuration Standard_V2, désactivez la mise en mémoire tampon des requêtes pour prendre en charge le transfert de fichiers mémorisés en bloc. Dans WAF_V2, la désactivation de la mise en mémoire tampon des requêtes n’est pas possible, car il faut examiner l’intégralité de la requête pour détecter et bloquer les menaces. Par conséquent, l’alternative suggérée consiste à créer une règle de chemin d’accès pour l’URL affectée, et à attacher une stratégie WAF désactivée à cette règle de chemin d’accès. |
| Affinité de cookies | La version V2 actuelle ne prend pas en charge l’ajout du domaine dans l’affinité de session Set-Cookie, ce qui signifie que le cookie ne peut pas être utilisé par le client pour les sous-domaines. |
| Intégration de Microsoft Defender pour le cloud | Pas encore disponible. |
S’inscrire pour la préversion
Exécutez les commandes Azure CLI suivantes pour vous inscrire à la préversion de la référence SKU de base d’Application Gateway.
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Se désinscrire de la préversion
Pour vous désinscrire de la préversion publique de la référence SKU de base :
- Supprimez toutes les instances de la référence SKU de base d’Application Gateway dans votre abonnement.
- Exécutez les commandes suivantes dans l’interface de ligne de commande Azure :
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Étapes suivantes
Selon vos besoins et votre environnement, vous pouvez créer une passerelle Application Gateway test avec le portail Azure, Azure PowerShell ou Azure CLI.