Azure Application Gateway funkciók
Azure Application Gateway egy webes forgalom terheléselosztója, amely lehetővé teszi a webalkalmazások forgalmának kezelését.
Application Gateway a következő funkciókat tartalmazza:
Secure Sockets Layer (SSL/TLS) leállítása
Az Application Gateway támogatja az SSL/TLS leállítását az átjárón, amely után a forgalom általában titkosítatlanul áramlik a háttérkiszolgálókra. Ez a funkció lehetővé teszi, hogy a webkiszolgálók megszabaduljanak a magas titkosítási és visszafejtési üzemeltetési költségektől. Néha azonban a kiszolgálók felé folytatott titkosítatlan kommunikáció nem elfogadható lehetőség. Ez lehet biztonsági követelmények, megfelelőségi követelmények miatt, vagy az alkalmazás csak biztonságos kapcsolatot fogad el. Ezekben az alkalmazásokban az Application Gateway támogatja a végpontok közötti SSL-/TLS-titkosítást.
További információ: Az SSL leállításának és a végpontok közötti SSL Application Gateway
Automatikus skálázás
Application Gateway Standard_v2 támogatja az automatikus skálázást, és a forgalom terhelési mintáinak módosítása alapján vertikálisan fel- vagy leskálázható. Az automatikus skálázással elkerülhető, hogy már a kiépítés során meg kelljen határozni az üzemelő példány méretét vagy a példányszámot.
A Application Gateway Standard_v2 funkciókkal kapcsolatos további információkért lásd: Mi az Azure Application Gateway v2?.
Zónaredundancia
A Standard_v2 Application Gateway több Availability Zones is kiterjedhetnek, így jobb hibarugalmasság érhető el, és nincs szükség külön Application Gateway-átjárók kiépítésére az egyes zónákban.
Statikus VIRTUÁLIS IP-cím
Az Application Gateway Standard_v2 termékváltozat kizárólag a statikus VIP-típust támogatja. Ez biztosítja, hogy az Application Gatewayhez társított VIRTUÁLIS IP-cím a Application Gateway élettartama alatt se változzon.
Webalkalmazási tűzfal
A Web Application Firewall (WAF) egy olyan szolgáltatás, amely központosított védelmet biztosít a webalkalmazásoknak a gyakori biztonsági résekkel és biztonsági résekkel szembeni ellen. A WAF az OWASP (Open Web Application Security Project) alapvető szabálykészletének 3.1 -jén (csak WAF_v2), 3.0-s és 2.2.9-en alapul.
A webalkalmazások egyre inkább ki vannak téve rosszindulatú támadásoknak, amelyek az ismert biztonsági réseket használják ki. Az ilyen jellegű támadások között például gyakoriak az SQL-injektálásos és a webhelyek közötti, parancsprogramot alkalmazó támadások. Az ilyen támadások megakadályozása az alkalmazás kódjában kihívást jelenthet, és szigorú felügyeletet, javítást és megfigyelést igényelhet az alkalmazás topológiájának számos rétegén. A központosított webalkalmazási tűzfal egyszerűbbé teszi a biztonságfelügyeletet, és segít az alkalmazás-rendszergazdáknak a fenyegetések vagy a behatolások elleni védekezésben. Emellett a WAF-megoldás gyorsabban képes kezelni a biztonsági fenyegetéseket azáltal, hogy kijavítja az ismert biztonsági réseket egy központi helyen, ahelyett hogy az egyes webalkalmazások védelmét biztosítaná. A meglévő alkalmazásátjárók egyszerűen konvertálhatók Web Application Firewall engedélyezett alkalmazásátjáróvá.
További információ: Mi az az Azure Web Application Firewall?.
Bejövőforgalom-vezérlő az AKS-hez
Application Gateway bejövőforgalom-vezérlő (AGIC) lehetővé teszi, hogy Application Gateway használjon bejövő forgalomként egy Azure Kubernetes Service (AKS) fürthöz.
A bejövőforgalom-vezérlő podként fut az AKS-fürtön belül, és felhasználja a Kubernetes bejövő erőforrásait, és átalakítja őket egy Application Gateway konfigurációvá, amely lehetővé teszi az átjáró számára a Forgalom terheléselosztását a Kubernetes-podokra. A bemeneti vezérlő csak Application Gateway Standard_v2 és WAF_v2 termékváltozatokat támogat.
További információ: Application Gateway bejövőforgalom-vezérlő (AGIC).
URL-alapú útválasztás
Az URL-alapú útválasztás lehetővé teszi, hogy a kérés URL-címei alapján átirányítsa a forgalmat a háttérkiszolgáló-készletekbe. Az egyik lehetőség az, hogy a különböző típusú tartalmakra vonatkozó kéréseket különböző készletekhez irányítja.
Például http://contoso.com/video/* iránti kérelmek VideoServerPoolba, míg a http://contoso.com/images/* felé irányuló kérelmek az ImageServerPoolba vannak továbbítva. Ha a kérés egyik elérésiút-kategóriába sem sorolható, a DefaultServerPool az alapértelmezett kiszolgáló.
További információ: URL-alapú útválasztás áttekintése.
Több hely üzemeltetése
A Application Gateway segítségével több webalkalmazáshoz is konfigurálhat útválasztást ugyanazon az alkalmazásátjárón, állomásnév vagy tartománynév alapján. Így hatékonyabb topológiát konfigurálhat telepítéseihez, mivel akár 100-nál is több webhelyet adhat hozzá egyetlen alkalmazásátjáróhoz. Mindegyik webhelyet a saját háttérkészletéhez lehet irányítani. Például három tartomány (contoso.com, fabrikam.com és adatum.com) mutat az alkalmazásátjáró IP címére. Létrehozhat három többhelyes figyelőt, és konfigurálhatja az egyes figyelők esetében a megfelelő port- és protokollbeállítást.
A kérések http://contoso.com a ContosoServerPoolba http://fabrikam.com , a FabrikamServerPoolba vannak átirányítva, és így tovább.
Hasonlóképpen, ugyanazon szülőtartomány két altartományát ugyanazon Application Gateway-telepítésről üzemeltetheti. Az altartományok használatának példái között lehet az egyetlen Application Gateway-telepítésen üzemeltetett http://blog.contoso.com és http://app.contoso.com. További információ: Application Gateway több webhely üzemeltetése.
A helyettesítő karakterrel ellátott gazdaneveket többhelyes figyelőben és figyelőként legfeljebb 5 gazdanévben is meghatározhatja. További információ: Helyettesítő karakteres gazdagépnevek a figyelőben.
Átirányítás
Számos webalkalmazás esetében gyakori eset az automatikus HTTP–HTTPS átirányítás annak érdekében, hogy az alkalmazás és a felhasználói közötti kommunikáció titkosított útvonalon történjen.
Korábban olyan technikákat is használhatott, mint a dedikált készlet létrehozása, amelynek egyetlen célja a HTTP-n érkező kérések HTTPS-be való átirányítása. Az Application Gateway támogatja a forgalom az Application Gateway alapján való átirányításának lehetőségét. Ez leegyszerűsíti az alkalmazáskonfigurációt, optimalizálja az erőforrás-használatot, és új átirányítási forgatókönyveket támogat, például a globális és útvonalalapú átirányítást. Application Gateway átirányítás támogatása nem korlátozódik kizárólag HTTP-ről HTTPS-átirányításra. Ez egy általános átirányítási mechanizmus, így a szabályokkal bármilyen megadott portról és portra átirányíthat. A szolgáltatás a külső webhelyre való átirányítást is támogatja.
Az Application Gateway átirányítási támogatása a következő funkciókat nyújtja:
- Globális átirányítás portok között a Gatewayen. Ez lehetővé teszi a HTTP–HTTPS átirányítást egy webhelyen.
- Útvonalalapú átirányítás. Ez a fajta átirányítás csak a megadott webhelyrészen engedélyezi a HTTP–HTTPS átirányítást, például egy
/cart/*kifejezéssel jelzett bevásárlókosár részen. - Átirányítás külső helyre.
További információ: Application Gateway átirányítás áttekintése.
Munkamenet-affinitás
A Cookie-alapú munkamenet-affinitás akkor hasznos, ha egy felhasználói munkamenetet egy adott kiszolgálón szeretne tartani. Az átjáró által felügyelt cookie-k használatával a Application Gateway a felhasználói munkamenetből érkező további forgalmat ugyanarra a kiszolgálóra irányíthatja feldolgozás céljából. Ez a funkció olyan esetekben lehet fontos, amelyekben egy felhasználói munkamenethez tartozó munkamenet-állapotot helyileg ment a rendszer a kiszolgálón.
További információ: Az Application Gateway működése.
Websocket- és HTTP/2-forgalom
Az Application Gateway natív támogatást nyújt a Websocket- és HTTP/2-protokollok számára. Kizárólag WebSocket-támogatásra vonatkozó felhasználói beállítás nem létezik.
A WebSocket és a HTTP/2 protokollok teljes körű duplex kommunikációt tesznek lehetővé egy kiszolgáló és egy ügyfél között egy hosszú ideig futó TCP-kapcsolaton. Ez interaktívabb kommunikációt eredményez a webkiszolgáló és az ügyél között, amely anélkül marad kétirányú, hogy a HTTP-alapú implementációkban kötelező lekérdezésekre lenne szükség. Ezek a protokollok a HTTP-vel ellentétben alacsony többletterheléssel rendelkeznek, és ugyanazt a TCP-kapcsolatot több kéréshez/válaszhoz is felhasználhatják, ami hatékonyabb erőforrás-használatot eredményez. Ezek a protokollok a hagyományos, 80-as és 443-as HTTP-portokon működnek.
További információ: WebSocket-támogatás és HTTP/2-támogatás.
Kapcsolatkiürítés
A kapcsolat kiürítése segít a háttérkészlet tagjainak szabályos eltávolításában a tervezett szolgáltatásfrissítések vagy a háttérrendszer állapotával kapcsolatos problémák során. Ez a beállítás a háttérbeállításon keresztül engedélyezve van, és a szabály létrehozásakor a háttérkészlet összes tagjára alkalmazza. Ha engedélyezve van, az Application Gateway biztosítja, hogy a háttérkészlet összes törlési példánya ne kapjon új kéréseket, miközben lehetővé teszi, hogy a meglévő kérések egy konfigurált időkorláton belül befejeződjenek. Azokra az esetekre vonatkozik, amikor a háttérpéldányok a következők:
- explicit módon el lett távolítva a háttérkészletből, miután egy felhasználó módosította a konfigurációt
- állapotadat-mintavételek által nem megfelelő állapotként jelentve, vagy
- egy méretezési művelet során el lett távolítva
Az egyetlen kivétel az, ha a kérések az átjáró által felügyelt munkamenet-affinitás miatt továbbra is a deregisztráló példányokhoz lesznek továbbítva.
A WebSocket-kapcsolatok esetében is figyelembe veszi a kapcsolat kiürítését. A kapcsolat kiürítése az átjáró minden egyes frissítéséhez meg lesz hívva. A háttérkészlet meglévő tagjaival való kapcsolatvesztés elkerülése érdekében engedélyezze a kapcsolat kiürítését.
Az időkorlátokról további információt a Háttérbeállítások konfigurációja című témakörben talál.
Egyéni hibalapok
Az Application Gatewayjel testreszabhatók a hibaoldalak. Az egyéni hibalapokon feltüntetheti saját védjegyeit, és egyéni elrendezést használhat.
További információ: Egyéni hibák.
HTTP-fejlécek és URL átírása
A HTTP-fejlécek lehetővé teszik, hogy az ügyfél és a kiszolgáló további információkat adjon át a kéréssel vagy a válaszsal. A HTTP-fejlécek újraírásával számos fontos forgatókönyvet elvégezhet, például:
- Biztonsági fejlécmezők hozzáadása, például HSTS/ X-XSS-Protection.
- A bizalmas információkat felfedő válaszfejlécmezők eltávolítása.
- Portinformációk eltávolítása az X-Forwarded-For fejlécekről.
Application Gateway és a WAF v2 termékváltozat támogatja a HTTP-kérések és válaszfejlécek hozzáadását, eltávolítását vagy frissítését, miközben a kérés- és válaszcsomagok az ügyfél és a háttérkészletek között mozognak. Az URL-címeket, a lekérdezési sztring paramétereit és a gazdanevet is átírhatja. Az URL-átírással és az URL-útvonalalapú útválasztással választhat, hogy a kéréseket az eredeti útvonal vagy az újraírt útvonal alapján az egyik háttérkészletbe irányítja át az újraértékelési útvonaltérkép beállítással.
A rendszer feltételek megadását is lehetővé teszi, hogy a meghatározott fejlécek vagy URL-címek átírására csak akkor kerüljön sor, ha a megadott feltételek teljesülnek. Ezek a feltételek a kérelem és a válasz információin alapulnak.
További információ: HTTP-fejlécek és URL-címek átírása.
Méretezés
Application Gateway Standard_v2 konfigurálható automatikus skálázáshoz vagy rögzített méretű üzemelő példányokhoz. A v2 termékváltozat nem kínál különböző példányméreteket. A v2 teljesítményével és díjszabásával kapcsolatos további információkért lásd: A V2 automatikus skálázása és a díjszabás ismertetése.
A Application Gateway Standard (v1) három méretben érhető el: Kicsi, Közepes és Nagy. A Kicsi méret ideális fejlesztési és tesztelési célokra.
Az Application Gateway korlátainak teljes listáját lásd: Az Application Gateway szolgáltatási korlátozásai.
Az alábbi táblázat az application gateway v1-példányok átlagos teljesítmény-átviteli sebességét mutatja be, és engedélyezve van az SSL-kiszervezés:
| A háttérlap válaszának átlagos mérete | Kicsi | Közepes | Nagy |
|---|---|---|---|
| 6 KB | 7,5 Mbps | 13 Mbps | 50 Mbit/s |
| 100 KB | 35 Mbps | 100 Mbit/s | 200 Mbit/s |
Megjegyzés
Ezek az értékek az alkalmazásátjáró hozzávetőleges átviteli sebességét jelzik. A tényleges átviteli sebesség a környezet különböző részleteitől függ, például az átlagos oldalmérettől, a háttérpéldányok helyétől és a lap kiszolgálásának feldolgozási idejétől. A pontos teljesítményszámokhoz saját teszteket kell futtatnia. Ezek az értékek csupán útmutatóul szolgálnak a kapacitástervezéshez.
Verziófunkciók összehasonlítása
A Application Gateway 1-v2-hez készült funkciók összehasonlításáért lásd: Mi Azure Application Gateway v2?.
Következő lépések
- Az Application Gateway működésének ismertetése
- Tekintse át a Azure Application Gateway kapcsolatos gyakori kérdéseket