Az Application Gateway használatával kapcsolatos gyakori kérdések

Azure-alkalmazás Gateway egy alkalmazáskézbesítési vezérlőt biztosít szolgáltatásként. Különböző 7. rétegbeli terheléselosztási képességeket kínál az alkalmazások számára. Ez a szolgáltatás magas rendelkezésre állású, méretezhető és teljes mértékben az Azure által felügyelt.

Az Application Gateway támogatja az automatikus skálázást, a TLS-kiszervezést és a végpontok közötti TLS-t, a webalkalmazási tűzfalat (WAF), a cookie-alapú munkamenet-affinitást, az URL-alapú útválasztást, a többhelyes üzemeltetést és egyéb funkciókat. A támogatott funkciók teljes listáját az Application Gateway bemutatása című témakörben találja.

Az Application Gateway egy 7. rétegbeli terheléselosztó, ami azt jelenti, hogy csak webes forgalommal (HTTP, HTTPS, WebSocket és HTTP/2) működik. Támogatja az olyan képességeket, mint a TLS-leállítás, a cookie-alapú munkamenet-affinitás és a terheléselosztási forgalom ciklikus időszeletelése. A Load Balancer terheléselosztja a forgalmat a 4. rétegben (TCP vagy UDP).

Az Application Gateway támogatja a HTTP, a HTTPS, a HTTP/2 és a WebSocket használatát.

Lásd: HTTP/2-támogatás.

Lásd: Támogatott háttérerőforrások.

Az Application Gateway v1 (Standard és WAF) a globális Azure minden régiójában elérhető. A 21Vianet és az Azure Government által üzemeltetett Microsoft Azure-ban is elérhető.

Az Application Gateway v2 (Standard_v2 és WAF_v2) rendelkezésre állásáról az Application Gateway v2 támogatott régiói című témakörben olvashat.

Az Application Gateway egy dedikált üzembe helyezés a virtuális hálózaton.

Az átirányítás támogatott. Tekintse meg az Application Gateway átirányításának áttekintését.

Tekintse meg a figyelő feldolgozásának sorrendjét.

Ha nyilvános IP-címet használ végpontként, az IP- és DNS-adatokat a nyilvános IP-címerőforrásban találja. Vagy az Azure Portalon, az Application Gateway áttekintési oldalán találja. Ha belső IP-címeket használ, keresse meg az áttekintési oldalon található információkat. A 2023. május 1. után létrehozott átjárók esetében az 1. verziójú termékváltozat esetében nem lesz automatikusan hozzárendelve alapértelmezett DNS-név a nyilvános IP-erőforráshoz. A v2 termékváltozat esetében nyissa meg a nyilvános IP-erőforrást, és válassza a Konfiguráció lehetőséget. A DNS-név konfigurálásához elérhető a DNS-névcímke (nem kötelező) mező.

Keep-Alive az időtúllépés azt szabályozza, hogy az Application Gateway mennyi ideig várja meg, amíg az ügyfél egy állandó kapcsolaton egy másik HTTP-kérést küld, mielőtt újrahasználja vagy bezárja azt. A TCP tétlen időtúllépése szabályozza, hogy a TCP-kapcsolat mennyi ideig legyen nyitva, ha nincs tevékenység.

Az Keep-Alive Application Gateway v1 termékváltozatának időtúllépése 120 másodperc, a v2 termékváltozatban pedig 75 másodperc. Privát IP-címek esetén az érték nem konfigurálható 5 perces TCP-tétlenségi időtúllépéssel. A TCP tétlen időtúllépése az Application Gateway 1- és v2-s termékváltozatának előtérbeli virtuális IP-címén (VIP) 4 perces alapértelmezett érték. A TCP tétlen időtúllépési értékét 1- és 2-s verziójú Application Gateway-példányokon 4 perc és 30 perc közötti értékre konfigurálhatja. Az 1-es és a 2-es verziójú Application Gateway-példányok esetében is az Application Gateway nyilvános IP-címére kell lépnie, és módosítania kell a TCP tétlenség időtúllépését a portál nyilvános IP-címének Konfiguráció paneljén. A nyilvános IP-cím TCP-tétlen időtúllépési értékét a PowerShellen keresztül az alábbi parancsok futtatásával állíthatja be:

$publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$publicIP.IdleTimeoutInMinutes = "15"
Set-AzPublicIpAddress -PublicIpAddress $publicIP

Az Application Gateway v2 termékváltozatának előtérbeli IP-címéhez való HTTP/2-kapcsolatok esetén az üresjárati időtúllépés 180 másodpercre van állítva, és nem konfigurálható.

Igen. Az Application Gateway újra felhasználja a meglévő TCP-kapcsolatokat egy háttérkiszolgálóval.

Szám Az Application Gateway-erőforrás nem nevezhető át. Egy másik nevű új erőforrást kell létrehoznia.

Szám A törlés után nem állítható vissza az Application Gateway-erőforrás vagy annak nyilvános IP-címe. Létre kell hoznia egy új erőforrást.

Az Application Gateway v1 termékváltozatban a VIP megváltozhat, ha leállítja és elindítja az Application Gatewayt. Az application gatewayhez társított DNS-név azonban nem változik az átjáró élettartama során. Mivel a DNS-név nem változik, CNAME aliast kell használnia, és az application gateway DNS-címére kell mutatnia. Az Application Gateway v2 termékváltozatban az IP-címek statikusak, így az IP-cím és a DNS-név nem változik az Application Gateway élettartama során.

Igen. Az Application Gateway v2 termékváltozata támogatja a statikus nyilvános IP-címeket és a statikus belső IP-címeket. A v1 termékváltozat támogatja a statikus belső IP-címeket.

Az Application Gateway IP-protokollonként csak egy nyilvános IP-címet támogat. Ha az application gateway DualStackként van konfigurálva, két nyilvános IP-címet támogat, egyet az IPv4-hez és egyet az IPv6-hoz.

Lásd az Application Gateway alhálózatának méretére vonatkozó szempontokat.

Igen. Egy adott Application Gateway-telepítés több példányán kívül egy másik egyedi Application Gateway-erőforrást is kiépítheti egy meglévő alhálózatra, amely egy másik Application Gateway-erőforrást tartalmaz.

Egyetlen alhálózat nem támogatja a v2 és a v1 Application Gateway termékváltozatokat.

Igen, de csak bizonyos forgatókönyvek. További információ: Application Gateway-infrastruktúra konfigurációja.

Igen. Lásd a kérések módosításait.

Az Új Application Gateway v1 termékváltozat üzembe helyezése akár 20 percet is igénybe vehet. A példány méretének vagy számának módosítása nem zavaró, és az átjáró ez idő alatt is aktív marad.

A v2 termékváltozatot használó legtöbb üzembe helyezés üzembe helyezése körülbelül 6 percet vesz igénybe. A folyamat azonban az üzembe helyezés típusától függően hosszabb időt is igénybe vehet. A több példányt tartalmazó rendelkezésre állási zónák üzembe helyezése például több mint 6 percet is igénybe vehet.

Frissítések az Application Gateway felé indított alkalmazás egyszerre csak egy frissítési tartományt alkalmaz. Az egyes frissítési tartományok példányainak frissítése során a többi frissítési tartomány többi példánya továbbra is az 1^{. forgalmat}szolgálja ki. Az aktív kapcsolatokat a rendszer akár 5 percig is zökkenőmentesen üríti ki a frissített példányokból, hogy a frissítés megkezdése előtt kapcsolatot létesítsen egy másik frissítési tartományban lévő példányokkal. A frissítés során az Application Gateway átmenetileg csökkentett maximális kapacitással fut, amelyet a konfigurált példányok száma határoz meg. A frissítési folyamat csak akkor halad tovább a következő példánykészletre, ha az aktuális példánykészlet frissítése sikeresen megtörtént.

¹ Azt javasoljuk, hogy legalább 2 példányszámot konfiguráljon az Application Gateway v1 termékváltozat-üzemelő példányaihoz, hogy legalább egy példány kiszolgálhassa a forgalmat a frissítések alkalmazása során.

Az Application Gateway a 4. rétegbeli proxyn keresztül támogatja a TLS/TCP protokollproxyt az előzetes verzióban.

Az Application Gateway 7. rétegbeli proxyja HTTP(S) protokollokkal nem támogatja az olyan e-mail protokollokat, mint az SMTP, az IMAP és a POP3. Egyes támogató e-mail-szolgáltatások, például az Outlook Web Access (OWA), az ActiveSync és az AutoDiscovery HTTP(S) protokollt használó forgalma esetén azonban használhatja a 7. rétegbeli proxyt, és a forgalomnak át kell haladnia. (Megjegyzés: WAF-termékváltozat használata esetén előfordulhat, hogy a WAF-szabályok kizárására van szükség).

Igen. További információ: Azure-alkalmazás átjáró és webalkalmazás tűzfalának migrálása 1-ről 2-re.

Igen. Az Application Gateway v1 termékváltozata továbbra is támogatott. Határozottan javasoljuk, hogy a termékváltozat funkciófrissítéseinek kihasználása érdekében térjen át a 2- s verzióra. A v1 és a v2 funkciók közötti különbségekről további információt az Automatikus skálázás és a zónaredundáns Application Gateway v2 című témakörben talál. A v1-v2 migrálási dokumentumot követve manuálisan migrálhatja az Application Gateway 1-s verziós termékváltozatának üzembe helyezését a v2-be.

Szám Az Application Gateway v2 nem támogatja az NTLM- vagy Kerberos-hitelesítéssel rendelkező proxykéréseket.

A kérelemfejlécek neve tartalmazhat alfanumerikus karaktereket és kötőjeleket. A más karaktereket tartalmazó kérelemfejlécek neve el lesz vetve, amikor a rendszer kérést küld a háttérbeli célnak. A válaszfejlécek nevei az RFC 7230-ban meghatározott alfanumerikus karaktereket és szimbólumokat tartalmazhatnak.

Igen. A Chromium browserv80 frissítése olyan http-cookie-kat vezetett be, amelyeknek a SameSite attribútuma nem kezelhető.SameSite=Lax Ez azt jelenti, hogy az Application Gateway affinitási cookie-t a böngésző nem küldi el harmadik féltől származó környezetben.

A forgatókönyv támogatásához az Application Gateway a meglévő ApplicationGatewayAffinity cookie mellett egy másik, úgynevezett ApplicationGatewayAffinityCORS cookie-t is injektál. Ezek a cookie-k hasonlóak, de a ApplicationGatewayAffinityCORS cookie-hoz még két attribútum tartozik: SameSite=None és Secure. Ezek az attribútumok még a forrásközi kérések esetében is megtartják a ragadós munkameneteket. További információ: Cookie-alapú affinitás szakasz.

Az aktív figyelő olyan figyelő, amely egy szabályhoz van társítva, és forgalmat küld egy háttérkészletbe. Minden olyan figyelő, amely csak átirányítja a forgalmat, nem aktív figyelő. Az átirányítási szabályokhoz társított figyelők nem tekinthetők aktívnak. Ha az átirányítási szabály egy útvonalalapú szabály, az átirányítási szabályban szereplő összes elérési útnak átirányítania kell a forgalmat, különben a figyelő aktívnak minősül. Az egyes összetevőkre vonatkozó korlátozások részleteiért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.

Az Application Gateway v1 termékváltozata támogatja a magas rendelkezésre állású forgatókönyveket, ha két vagy több példányt telepített. Az Azure ezeket a példányokat frissítési és tartalék tartományok között osztja el, hogy a példányok ne legyenek egyszerre sikertelenek. A v1 termékváltozat támogatja a méretezhetőséget, ha ugyanazon átjáró több példányát is hozzáadja a terhelés megosztásához.

A v2 termékváltozat automatikusan biztosítja, hogy az új példányok el legyenek oszlva a tartalék tartományok között, és frissítse a tartományokat. Ha zónaredundanciát választ, a legújabb példányok a rendelkezésre állási zónák között is el vannak osztva, hogy az zonális meghibásodási rugalmasságot nyújtson.

Az Azure Traffic Managerrel több alkalmazásátjáró között oszthatja el a forgalmat különböző adatközpontokban.

Igen. A háttérkészleten belüli tagok megszakítás nélküli módosításához beállíthatja a kapcsolatelvezetést. További információkért tekintse meg az Application Gateway Csatlakozás ion draining szakaszát.

Igen, az Application Gateway v2 termékváltozata támogatja az automatikus skálázást. További információ: Automatikus skálázás és zónaredundáns Application Gateway.

Szám A példányok a frissítési tartományok és a tartalék tartományok között vannak elosztva.

Igen.

Igen.

Igen. Az Application Gateway mindig egy virtuális hálózati alhálózaton van üzembe helyezve. Ez az alhálózat csak alkalmazásátjárókat tartalmazhat. További információ: Virtuális hálózat és alhálózat követelményei.

Ha IP-kapcsolattal rendelkezik, az Application Gateway képes kommunikálni a virtuális hálózaton kívüli példányokkal. Az Application Gateway a benne lévő előfizetésen kívüli példányokkal is tud kommunikálni. Ha belső IP-címeket szeretne használni háttérkészlet-tagokként, használja a virtuális hálózatok közötti társviszony-létesítést vagy az Azure VPN Gatewayt.

A DNS-feloldóhoz hasonlóan az Application Gateway-erőforrás is tiszteletben tartja a háttérkiszolgáló DNS-rekordjának Élettartam (TTL) értékét. A TTL lejárta után az átjáró végrehajt egy keresést a DNS-adatok frissítéséhez. A keresés során, ha az application gateway problémát tapasztal a válasz kérése során (vagy nem található DNS-rekord), az átjáró továbbra is az utolsó ismert dns-értéket használja a forgalom kiszolgálásához. További információ: Az Application Gateway működése.

Az Application Gateway példányai a virtuális hálózat DNS-konfigurációját használják a névfeloldáshoz. Miután módosította a DNS-kiszolgáló konfigurációját, újra kell indítania az application gatewayt az új DNS-kiszolgálók hozzárendeléséhez. Addig is előfordulhat, hogy a teljes tartománynév-alapú névfeloldások sikertelenek lehetnek a kimenő kapcsolatokhoz.

Szám Az alhálózaton azonban más alkalmazásátjárókat is üzembe helyezhet.

Az alkalmazásátjárók csak ugyanazon virtuális hálózaton belüli alhálózatok között helyezhetők át. Az 1. verzió támogatott nyilvános és privát előtérrendszerrel (dinamikus foglalással) és v2-vel, csak nyilvános előtérrel. Az application gateway nem helyezhető át egy másik alhálózatra, ha a privát előtérbeli IP-konfiguráció statikusan van lefoglalva. A művelet végrehajtásához az application gatewaynek le kell állítania a leállított állapotot. Az 1. verzió leállítása vagy indítása módosítja a nyilvános IP-címet. Ez a művelet csak az Azure PowerShell és az Azure CLI használatával hajtható végre az alábbi parancsok futtatásával:

Azure PowerShell

$VNet = Get-AzVirtualNetwork -Name "<VNetName>" -ResourceGroupName "<ResourceGroup>"
$Subnet = Get-AzVirtualNetworkSubnetConfig -Name "<NewSubnetName>" -VirtualNetwork $VNet
$AppGw = Get-AzApplicationGateway -Name "<ApplicationGatewayName>" -ResourceGroupName "<ResourceGroup>"
Stop-AzApplicationGateway -ApplicationGateway $AppGw
$AppGw = Set-AzApplicationGatewayIPConfiguration -ApplicationGateway $AppGw -Name $AppGw.GatewayIPConfigurations.Name -Subnet $Subnet
#If you have a private frontend IP configuration, uncomment and run the next line:
#$AppGw = Set-AzApplicationGatewayFrontendIPConfig -Name $AppGw.FrontendIPConfigurations.Name[1] -Subnet $Subnet -ApplicationGateway $AppGw
Set-AzApplicationGateway -ApplicationGateway $AppGw

További információ: Set-AzApplicationGatewayIPConfiguration.

Azure CLI

az network application-gateway stop -g <ResourceGroup> -n <ApplicationGatewayName>
az network application-gateway update -g <ResourceGroup> -n <ApplicationGatewayName> --set gatewayIpConfigurations[0].subnet.id=<subnetID>

Lásd: Hálózati biztonsági csoportok az Application Gateway alhálózatán.

Lásd az Application Gateway alhálózatán támogatott, felhasználó által megadott útvonalakat.

Szám A tárfiókok szolgáltatásvégpont-szabályzatai nem támogatottak az Application Gateway alhálózatában, és annak konfigurálása blokkolja az Azure-infrastruktúra forgalmát.

Lásd az Application Gateway korlátait.

Igen. Az Application Gateway egy belső IP-címet és egy külső IP-címet támogat alkalmazásátjárónként.

Igen. A virtuális hálózatok közötti társviszony-létesítés segít a többi virtuális hálózat forgalmának terheléselosztásában.

Igen, amíg a forgalom engedélyezett.

A mikroszolgáltatás-architektúra támogatott. A különböző portokon való mintavételhez több háttérbeállítást kell konfigurálnia.

Szám

Lásd a feldolgozási szabályok sorrendjét.

A Gazdagép mező megadja a mintavétel küldendő nevét, amikor többhelyes alkalmazást konfigurált az Application Gatewayen. Ellenkező esetben használja a 127.0.0.1-et. Ez az érték eltér a virtuális gép gazdagépének nevétől. Formátuma a <protokoll>://<gazdagép>:<port><elérési útja>.

Igen. Lásd: Adott forrás IP-címekhez való hozzáférés korlátozása.

Igen, az azonos portszámú nyilvános és privát figyelőkkel egyidejűleg támogathatja a nyilvános és magánügyfeleket. Ha egy hálózati biztonsági csoport (NSG) az application gateway alhálózatához van társítva, a konfigurációjától függően szükség lehet egy adott bejövő szabályra. További információ.

Az Application Gateway v2 támogatja az IPv4- és IPv6-előtérrendszereket. Az IPv6-támogatás jelenleg csak az új alkalmazásátjárókhoz érhető el. Az IPv6 támogatásához a virtuális hálózatnak kettős veremnek kell lennie. Az Application Gateway 1-es verzió nem támogatja a kettős veremű virtuális hálózatokat.

Az Application Gateway v1 termékváltozatai FIPS 140-2 jóváhagyott működési módban futtathatók, amelyet gyakran "FIPS módnak" is neveznek. A FIPS mód egy FIPS 140-2-alapú hitelesített titkosítási modult hív meg, amely lehetővé teszi a FIPS-kompatibilis algoritmusok titkosítását, kivonatolását és aláírását, ha engedélyezve van. A FIPS mód engedélyezésének biztosításához a beállítást PowerShell-lel FIPSMode , Azure Resource Manager-sablonnal vagy REST API-val kell konfigurálni az előfizetés regisztrálása után a konfiguráció engedélyezéséhez FIPSmode.

Az Application Gateway v2 jelenleg csak a nyilvános előzetes verzión keresztül támogatja a privát IP-cím előtér-konfigurációját (nyilvános IP-cím nélkül). További információ: Privát Application Gateway üzembe helyezése (előzetes verzió).

A jelenlegi általános rendelkezésre állási támogatáshoz az Application Gateway v2 a következő kombinációkat támogatja:

• Privát IP-cím és nyilvános IP-cím
• Csak nyilvános IP-cím

Ha csak az aktuális funkcionalitású privát IP-címekre szeretné korlátozni a forgalmat, kövesse az alábbi eljárást:

1. Hozzon létre egy nyilvános és privát előtéri IP-címmel rendelkező application Gatewayt.

2. Ne hozzon létre figyelőket a nyilvános előtérbeli IP-címhez. Az Application Gateway nem figyeli a nyilvános IP-címen lévő forgalmat, ha nem jön létre figyelő.

3. Hozzon létre és csatoljon egy hálózati biztonsági csoportot az Application Gateway alhálózatához a következő konfigurációval a prioritás sorrendjében:

   1. Engedélyezze a forrásból származó forgalmat a GatewayManager szolgáltatáscímke, a Cél mint Bármely, valamint a célport 65200-65535 szolgáltatáscímkeként. Ez a porttartomány az Azure-infrastruktúra kommunikációjához szükséges. Ezeket a portokat tanúsítványhitelesítés védi (zárolja). A külső entitások, beleértve az átjáró felhasználói rendszergazdáit, nem kezdeményezhetnek módosításokat ezeken a végpontokon megfelelő tanúsítványok nélkül.

   2. Engedélyezze a forrásból származó forgalmat az AzureLoadBalancer szolgáltatáscímkeként, a célport pedig bármelyként.

   3. Tiltsa le a forrásból érkező összes bejövő forgalmat, mint a szolgáltatáscímke internetétés a célportotbármelyként. Adja meg ezt a szabályt a legkisebb prioritásnak a bejövő szabályokban.

   4. Tartsa meg az alapértelmezett szabályokat, például az AllowVNetInBound-et , hogy a privát IP-címhez való hozzáférés ne legyen letiltva.

   5. A kimenő internetkapcsolat nem tiltható le. Ellenkező esetben a naplózással és a metrikákkal kapcsolatos problémákat tapasztal.

Minta NSG-konfiguráció a csak magánhálózati IP-hozzáféréshez:

Az Application Gateway leállításához és elindításához használhatja az Azure PowerShellt vagy az Azure CLI-t. Amikor leállítja és elindítja az Application Gatewayt, a számlázás is leáll és elindul. A leállított Application Gatewayen (például címke, állapotadat-mintavétel vagy figyelő hozzáadása) végzett PUT-műveletek elindítják az indítást. Javasoljuk, hogy a konfiguráció frissítése után állítsa le az Application Gatewayt.

# Stop an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Stop-AzApplicationGateway -ApplicationGateway $appGateway       

# Start an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Start-AzApplicationGateway -ApplicationGateway $appGateway           

# Stop an existing Azure Application Gateway instance

az network application-gateway stop -g MyResourceGroup -n MyAppGateway

# Start an existing Azure Application Gateway instance

az network application-gateway start -g MyResourceGroup -n MyAppGateway

Az Application Gateway támogatja az önaláírt tanúsítványokat, a hitelesítésszolgáltatói (CA-) tanúsítványokat, a kiterjesztett érvényesítési (EV) tanúsítványokat, a többtartományos (SAN) tanúsítványokat és a helyettesítő tanúsítványokat.

Az Application Gateway a következő titkosítási csomagokat támogatja:

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_3DES_EDE_CBC_SHA
• TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

A TLS-beállítások testreszabásáról további információt az Application Gateway TLS-szabályzatverzióinak és titkosítási csomagjainak konfigurálása című témakörben talál.

Igen. Az Application Gateway támogatja a TLS kiszervezését és a végpontok közötti TLS-t, amely újra titkosítja a háttérrendszer felé irányuló forgalmat.

Igen. Az Application Gateway konfigurálható úgy, hogy megtagadja a TLS1.0, a TLS1.1 és a TLS1.2 használatát. Alapértelmezés szerint az SSL 2.0 és 3.0 már le van tiltva, és nem konfigurálható.

Igen. Az Application Gatewayben titkosítócsomagokat konfigurálhat. Egyéni szabályzat definiálásához engedélyezze legalább az alábbi titkosítási csomagok egyikét:

• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256

Az Application Gateway SHA256-ot használ a háttérkezeléshez.

Az Application Gateway legfeljebb 100 TLS/SSL-tanúsítványt támogat.

Igen, az Application Gateway támogatja az OCSP-bővítményekkel és a kiszolgálótanúsítványok OCSP-hez való csatlakoztatásával rendelkező tanúsítványokat.

Az Application Gateway legfeljebb 100 hitelesítési tanúsítványt támogat.

Igen, az Application Gateway v2 termékváltozata támogatja a Key Vaultot. További információért lásd a Key Vault tanúsítványokkal való TLS-megszakításról szóló részt.

Több tartományalapú (gazdagépalapú) útválasztáshoz többhelyes figyelőket hozhat létre, beállíthat https protokollt használó figyelőket, és társíthatja a figyelőket az útválasztási szabályokkal. További információ: Több webhely üzemeltetése az Application Gateway használatával.

Szám Csak alfanumerikus karaktereket használjon a .pfx fájljelszóban.

A CA/Browser tagjai nemrég tettek közzé jelentéseket, amelyek részletesen ismertetik az ügyfelek, a Microsoft és a nagyobb technológiai közösség által kibocsátott, a nyilvánosan megbízható hitelesítésszolgáltatókra vonatkozó iparági szabványoknak nem megfelelő tanúsítványokat. A nem megfelelő hitelesítésszolgáltatókkal kapcsolatos jelentések itt találhatók:

• Hiba 1649951
• Hiba 1650910

Az iparág megfelelőségi követelményei szerint a ca-szállítók elkezdték visszavonni a nem megfelelő hitelesítésszolgáltatókat, és megfelelő hitelesítésszolgáltatókat bocsátanak ki, ami megköveteli az ügyfelek számára a tanúsítványaik újbóli kiadását. A Microsoft szorosan együttműködik ezekkel a szállítókkal az Azure-szolgáltatásokra gyakorolt lehetséges hatás minimalizálása érdekében. A Saját tanúsítvány (BYOC) forgatókönyvekben használt saját tanúsítványok vagy tanúsítványok azonban továbbra is fennállnak a veszélye annak, hogy váratlanul visszavonják őket.

Annak ellenőrzéséhez, hogy az alkalmazás által használt tanúsítványok visszavonva lettek-e, tekintse meg a DigiCert közleményét és a tanúsítvány-visszavonási nyomkövetőt. Ha visszavonták vagy visszavonták a tanúsítványokat, új tanúsítványokat kell kérnie az alkalmazásokban használt hitelesítésszolgáltatótól. Annak érdekében, hogy az alkalmazás rendelkezésre állása ne szakadjon meg a tanúsítványok váratlan visszavonása vagy a visszavont tanúsítványok frissítése miatt, tekintse meg a nem megfelelő hitelesítésszolgáltatók visszavonása című témakört, amely potenciálisan hatással lehet az ügyfél Azure-szolgáltatásaira.

Az Application Gatewayre vonatkozó információk:

Ha a visszavont hitelesítésszolgáltatók egyike által kiadott tanúsítványt használ, előfordulhat, hogy az alkalmazás rendelkezésre állása megszakad. Az alkalmazástól függően különböző hibaüzenetek jelenhetnek meg, többek között a következőkre:

• Érvénytelen tanúsítvány/visszavont tanúsítvány
• A kapcsolat időtúllépés miatt megszakadt
• HTTP 502

A probléma miatt az alkalmazás megszakításának elkerülése vagy a visszavont hitelesítésszolgáltató újbóli kiadása érdekében a következő műveleteket kell végrehajtania:

1. Lépjen kapcsolatba a tanúsítványszolgáltatóval a tanúsítványok újbóli kiadásával kapcsolatban.
2. Miután újra kiadta őket, frissítse a tanúsítványokat az Application Gatewayen/WAF-en a teljes megbízhatósági lánccal (levél, köztes és főtanúsítvány). A tanúsítvány használatának helye alapján, akár a figyelőn, akár az Application Gateway HTTP-beállításain, kövesse az alábbi lépéseket a tanúsítványok frissítéséhez. További információkért tekintse meg az említett dokumentációs hivatkozásokat.
3. Frissítse a háttéralkalmazás-kiszolgálókat az újra kiadott tanúsítvány használatára. A használt háttérkiszolgálótól függően a tanúsítványfrissítés lépései eltérőek lehetnek. Ellenőrizze a szállító dokumentációját.

A tanúsítvány frissítése a figyelőben:

1. Nyissa meg az Application Gateway-erőforrást az Azure Portalon.
2. Nyissa meg a tanúsítványhoz társított figyelőbeállításokat.
3. Válassza a Kijelölt tanúsítvány megújítása vagy szerkesztése lehetőséget.
4. Töltse fel az új PFX-tanúsítványt a jelszóval, és válassza a Mentés lehetőséget.
5. A webhely elérése és annak ellenőrzése, hogy a webhely a várt módon működik-e. További információ: Application Gateway-tanúsítványok megújítása.

Ha tanúsítványra hivatkozik a Key Vaultból az Application Gateway figyelőjében, a gyors módosításhoz az alábbi lépéseket javasoljuk:

1. Az Azure Portalon nyissa meg az Application Gatewayhez társított Key Vault-beállításokat.
2. Adja hozzá vagy importálja az újra kiadott tanúsítványt az áruházban. További információ : Gyorsútmutató: Kulcstartó létrehozása az Azure Portal használatával.
3. A tanúsítvány importálása után lépjen az Application Gateway figyelőbeállításaihoz, és a Tanúsítvány kiválasztása a Key Vaultból területen válassza ki a Tanúsítvány legördülő menüt, és válassza ki a nemrég hozzáadott tanúsítványt.
4. Válassza a Mentés lehetőséget. További információ a Key Vault-tanúsítványokkal rendelkező Application Gateway TLS-leállításáról: TLS-leállítás Key Vault-tanúsítványokkal.

A tanúsítvány frissítése a HTTP-beállításokban:

Ha az Application Gateway/WAF szolgáltatás 1. verziós termékváltozatát használja, az új tanúsítványt fel kell töltenie háttér-hitelesítési tanúsítványként.

1. Nyissa meg az Application Gateway-erőforrást az Azure Portalon.
2. Nyissa meg a tanúsítványhoz társított HTTP-beállításokat.
3. Válassza a Tanúsítvány hozzáadása lehetőséget, töltse fel az újra kiadott tanúsítványt, és válassza a Mentés lehetőséget.
4. A régi tanúsítványt később eltávolíthatja a régi tanúsítvány melletti ... beállítások gombra kattintva. Válassza a Törlés, majd a Mentés lehetőséget. További információ: Teljes körű TLS konfigurálása az Application Gateway és a portál használatával.

Ha az Application Gateway/WAF szolgáltatás V2 termékváltozatát használja, nem kell feltöltenie az új tanúsítványt a HTTP-beállításokba, mivel a V2 termékváltozat "megbízható főtanúsítványokat" használ, és itt nem kell műveletet tennie.

Igen. Az Application Gatewayen keresztüli 7. és 4. rétegbeli útválasztás ugyanazt az előtérbeli IP-konfigurációt használja. Így az összes ügyfelet egyetlen (nyilvános vagy privát) IP-címre irányíthatja, és ugyanez az átjáró-erőforrás a konfigurált figyelőprotokollok és a portok alapján irányítja őket.

Bár a HTTP(S) forgalom L4 proxyprotokollokon keresztül is kiszolgálható, ezt nem javasoljuk. Az Application Gateway L7 proxymegoldása nagyobb felügyeletet és biztonságot nyújt a HTTP(S) protokollok felett olyan speciális funkciókon keresztül, mint az átírás, a munkamenet-affinitás, az átirányítás, a WebSockets, a WAF stb.

A 4. rétegbeli szolgáltatások erőforrás-tulajdonságai eltérnek a 7. rétegtől. Ennek megfelelően a REST API vagy a parancssori felület használatakor a következő tulajdonságokat kell használnia.

• REST API
• Parancssori felület

Szám A 4. réteg és a 7. réteg tulajdonságai nem kapcsolhatók össze. Ezért az útválasztási szabály csak a 4. rétegbeli figyelők csatlakoztatását teszi lehetővé egy 4. réteg típusú háttérrendszer-beállításhoz.

Nem használhatja ugyanazt a nevet az L7 (httpListeners) és az L4 (figyelők) esetében. Ez vonatkozik más L4-tulajdonságokra is, például a háttérrendszerre Gépház Collection és routingRules.

Természetesen. A 7. rétegbeli proxyhoz hasonlóan hozzáadhat egy privát végpontot az application gateway háttérkészletéhez. Ezt a privát végpontot az application gateway ugyanazon virtuális hálózatának egy szomszédos alhálózatán kell üzembe helyezni.

Nem használja a Keepalive-t háttérkapcsolatokhoz. Az előtérbeli figyelőkapcsolat minden bejövő kéréséhez az Application Gateway új háttérkapcsolatot kezdeményez a kérés teljesítéséhez.

A háttérkiszolgáló az Application Gateway IP-címét látja. Jelenleg nem támogatjuk az "ügyfél IP-címének megőrzését", amelyen keresztül a háttéralkalmazás értesülhet az eredeti ügyfél IP-címéről.

Ugyanez az SSL-szabályzatkonfiguráció a 7. réteg (HTTPS) és a 4. réteg (TLS) esetében is alkalmazható. Jelenleg nem támogatjuk az SSL-profilt (figyelőspecifikus SSL-szabályzatot vagy kölcsönös hitelesítést) a TLS-figyelők számára.

Szám Az ügyfél ugyanarra a háttérkiszolgálóra való átirányítása jelenleg nem támogatott. A kapcsolatok ciklikus időszeleteléses módon lesznek elosztva a háttérkészlet kiszolgálói között.

Igen, az automatikus skálázási funkció a TLS vagy a TCP protokoll forgalmának kiugrása és csökkentése érdekében is működik.

A webalkalmazási tűzfal (WAF) képességei nem működnek a 4. rétegbeli használathoz.

Szám Az UDP-támogatás jelenleg nem érhető el.

A Kubernetes lehetővé teszi a deployment podok egy csoportjának a fürtben való létrehozását és service az erőforrásokat. Ha ugyanazt a szolgáltatást külsőleg szeretné elérhetővé tenni, egy Ingress erőforrás van definiálva, amely terheléselosztást, TLS-leállást és névalapú virtuális üzemeltetést biztosít. Az Ingress erőforrás kielégítése érdekében bejövőforgalom-vezérlőre van szükség, amely figyeli az erőforrások módosításait Ingress , és konfigurálja a terheléselosztó szabályzatait.

Az Application Gateway bejövőforgalom-vezérlője (AGIC) lehetővé teszi, hogy az Application Gateway egy Azure Kubernetes-szolgáltatás, más néven AKS-fürt bejövő forgalmát használja.

Jelenleg egy bejövőforgalom-vezérlő egy példánya csak egy application gatewayhez társítható.

Az AGIC megpróbálja automatikusan társítani az útvonaltábla-erőforrást az Application Gateway alhálózatához, de előfordulhat, hogy az AGIC engedélyeinek hiánya miatt nem sikerül. Ha az AGIC nem tudja társítani az útvonaltáblát az Application Gateway alhálózatához, hiba jelenik meg az AGIC-naplókban. Ebben az esetben manuálisan kell társítania az AKS-fürt által létrehozott útvonaltáblát az Application Gateway alhálózatához. További információ: Támogatott, felhasználó által megadott útvonalak.

Igen, mindaddig, amíg a virtuális hálózatok társviszonyban vannak, és nem rendelkeznek átfedésben lévő címtérekkel. Ha az AKS-t kubenettel futtatja, mindenképpen társítsa az AKS által létrehozott útvonaltáblát az Application Gateway alhálózatához.

A Helmen keresztül üzembe helyezett AGIC és az AKS-bővítmények közötti különbségekért lásd a Helm üzembe helyezése és az AKS-bővítmény közötti különbséget.

A Helmen keresztül üzembe helyezett AGIC és az AKS-bővítmény közötti különbségekért lásd a Helm üzembe helyezése és az AKS-bővítmény közötti különbséget, különösen azokat a táblákat, amelyeket az AGIC a Helmen keresztül üzembe helyezett AGIC által támogatott, és nem egy AKS-bővítmény. Általánosságban elmondható, hogy a Helmen keresztül történő üzembe helyezés lehetővé teszi a bétafunkciók tesztelését és a jelöltek kiadását a hivatalos kiadás előtt.

Szám Az AGIC-bővítmény egy felügyelt szolgáltatás, ami azt jelenti, hogy a Microsoft automatikusan frissíti a bővítményt a legújabb stabil verzióra.

A kölcsönös hitelesítés kétirányú hitelesítés egy ügyfél és egy kiszolgáló között. Az Application Gatewayrel való kölcsönös hitelesítés jelenleg lehetővé teszi, hogy az átjáró ellenőrizze a kérést küldő ügyfelet, vagyis az ügyfél-hitelesítést. Általában az ügyfél az egyetlen, amely hitelesíti az Application Gatewayt. Mivel az Application Gateway mostantól az ügyfelet is hitelesítheti, kölcsönös hitelesítéssé válik, ahol az Application Gateway és az ügyfél kölcsönösen hitelesítik egymást.

Nem, a kölcsönös hitelesítés jelenleg csak az előtérbeli ügyfél és az application gateway között történik. A háttérbeli kölcsönös hitelesítés jelenleg nem támogatott.

Az Application Gateway három naplót biztosít:

• ApplicationGatewayAccessLog: A hozzáférési napló tartalmazza az Application Gateway előtérnek küldött összes kérelmet. Az adatok tartalmazzák a hívó IP-címét, a kért URL-címet, a válasz késését, a visszatérési kódot és a bájtokat. Alkalmazásátjárónként egy rekordot tartalmaz.
• ApplicationGatewayPerformanceLog: A teljesítménynapló rögzíti az egyes application gatewayek teljesítményadatait. Az információk közé tartozik a bájtok átviteli sebessége, a teljes kiszolgált kérések száma, a sikertelen kérelmek száma, valamint a háttérpéldányok kifogástalan és nem kifogástalan száma.
• ApplicationGatewayFirewallLog: A WAF-vel konfigurált application gatewayek esetében a tűzfalnapló olyan kéréseket tartalmaz, amelyek észlelési vagy megelőzési módban vannak naplózva.

A rendszer minden naplót 60 másodpercenként gyűjt. További információ: Háttérállapot, diagnosztikai naplók és metrikák az Application Gatewayhez.

Ellenőrizze az állapotot a PowerShell-parancsmaggal Get-AzApplicationGatewayBackendHealth vagy a portállal. További információ: Application Gateway-diagnosztika.

A diagnosztikai naplók az ügyfél tárfiókjába áramlanak. Az ügyfelek a saját preferenciájuk alapján állíthatják be a megőrzési szabályzatot. A diagnosztikai naplók eseményközpontba vagy Azure Monitor-naplókba is elküldhetők. További információ: Application Gateway-diagnosztika.

A portálon az Application Gateway menüpanelén válassza a Tevékenységnapló lehetőséget az auditnapló eléréséhez.

Igen. Az Application Gatewayben a riasztások metrikákon vannak konfigurálva. További információ: Application Gateway-metrikák és riasztási értesítések fogadása.

A hozzáférési naplókat többféleképpen is megtekintheti és elemezheti. Használja az Azure Monitor-naplókat, az Excelt, a Power BI-t stb.

Használhat egy Resource Manager-sablont is, amely telepíti és futtatja a népszerű GoAccess-naplóelemzőt az Application Gateway hozzáférési naplóihoz. A GoAccess értékes HTTP-forgalmi statisztikákat biztosít, például egyedi látogatókat, kért fájlokat, gazdagépeket, operációs rendszereket, böngészőket és HTTP-állapotkódokat. További információt a GitHubon a Resource Manager-sablonmappában található Readme fájlban talál.

Általában ismeretlen állapot jelenik meg, ha a háttérrendszerhez való hozzáférést egy NSG, egyéni DNS vagy felhasználó által meghatározott útválasztás blokkolja az Application Gateway alhálózatán. További információ: Háttérállapot, diagnosztikai naplózás és metrikák az Application Gatewayhez.

Az aktuális platformkorlátozások miatt, ha az Application Gateway v2 (Standard_v2, WAF_v2) alhálózatán NSG van, és engedélyezte az NSG-folyamatnaplókat rajta, akkor nemdeterminista viselkedés jelenik meg. Ez a forgatókönyv jelenleg nem támogatott.

Az Application Gateway nem helyezi át és nem tárolja az ügyféladatokat azon a régión kívül, ahol az üzembe lett helyezve.

Következő lépések

• Az Application Gatewayről további információt az Azure-alkalmazás Átjáró ismertetése című témakörben talál.
• A TLS-leállásról és a végpontok közötti TLS-ről az Application Gateway használatával való megismeréséhez lásd: A végpontok közötti TLS engedélyezése Azure-alkalmazás Átjárón.