Azure-alkalmazás átjáró funkciói
Az Azure Application Gateway egy webes forgalomra vonatkozó terheléselosztó, amellyel kezelheti a webalkalmazásai forgalmát.
Feljegyzés
Webes számítási feladatok esetén javasoljuk az Azure DDoS-védelem és a webalkalmazási tűzfal használatát a felmerülő DDoS-támadások elleni védelem érdekében. Egy másik lehetőség az Azure Front Door használata webalkalmazási tűzfallal együtt. Az Azure Front Door platformszintű védelmet nyújt a hálózati szintű DDoS-támadások ellen. További információ: Az Azure-szolgáltatások biztonsági alapkonfigurációja.
Az Application Gateway a következő funkciókat tartalmazza:
Secure Sockets Layer (SSL/TLS) leállítása
Az Application Gateway támogatja az SSL/TLS-leállítást az átjárónál, amely után a forgalom általában titkosítatlanul áramlik a háttérkiszolgálókra. Ez a funkció lehetővé teszi, hogy a webkiszolgálók megszabaduljanak a magas titkosítási és visszafejtési üzemeltetési költségektől. A kiszolgálók felé történő titkosítás nélküli kommunikáció azonban néha nem elfogadható megoldás. Ennek oka lehet biztonsági követelmények, megfelelőségi követelmények, vagy az alkalmazás csak biztonságos kapcsolatot fogadhat el. Ezekben az alkalmazásokban az Application Gateway támogatja a végpontok közötti SSL-/TLS-titkosítást.
További információ: Az SSL leállításának és végpontok közötti SSL-nek az Application Gateway használatával történő áttekintése
Automatikus skálázás
Az Application Gateway Standard_v2 támogatja az automatikus skálázást, és a forgalmi terhelési minták módosítása alapján vertikálisan fel- vagy leskálázható. Az automatikus skálázással elkerülhető, hogy már a kiépítés során meg kelljen határozni az üzemelő példány méretét vagy a példányszámot.
Az Application Gateway Standard_v2 funkcióival kapcsolatos további információkért lásd: Mi az Azure-alkalmazás Átjáró 2.
Zónaredundancia
A Standard_v2 Application Gateway több rendelkezésre állási zónára is kiterjedhet, így nagyobb a hibatűrés, és nem szükséges külön Application Gatewayeket kiépíteni az egyes zónákban.
Statikus VIP
Az Application Gateway Standard_v2 termékváltozata kizárólag a statikus VIP-típust támogatja. Ez biztosítja, hogy az Application Gatewayhez társított VIP még az Application Gateway élettartama alatt sem változzon.
Webalkalmazási tűzfal
A webalkalmazási tűzfal (WAF) egy szolgáltatás, amely központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági rések és biztonsági rések ellen. A WAF az OWASP (Open Web Application Security Project) 3.1(csak WAF_v2), 3.0 és 2.2.9 alapvető szabálykészletének szabályain alapul.
A webalkalmazások egyre inkább ki vannak téve rosszindulatú támadásoknak, amelyek az ismert biztonsági réseket használják ki. Az ilyen jellegű támadások között például gyakoriak az SQL-injektálásos és a webhelyek közötti, parancsprogramot alkalmazó támadások. Az ilyen támadások megakadályozása az alkalmazás kódjában kihívást jelenthet, és szigorú felügyeletet, javítást és megfigyelést igényelhet az alkalmazás topológiájának számos rétegén. A központosított webalkalmazási tűzfal egyszerűbbé teszi a biztonságfelügyeletet, és segít az alkalmazás-rendszergazdáknak a fenyegetések vagy a behatolások elleni védekezésben. Emellett a WAF-megoldás gyorsabban képes kezelni a biztonsági fenyegetéseket azáltal, hogy kijavítja az ismert biztonsági réseket egy központi helyen, ahelyett hogy az egyes webalkalmazások védelmét biztosítaná. A meglévő alkalmazásátjárók egyszerűen konvertálhatók webalkalmazási tűzfallal kompatibilis alkalmazásátjáróvá.
A DDoS-támadások elleni védelemhez az Azure WAF és az Application Gateway használatával kapcsolatos útmutatásért tekintse meg az Application DDoS Protectiont. További információ: Mi az Az Azure Web Application Firewall?
Bejövőforgalom-vezérlő az AKS-hez
Az Application Gateway bejövőforgalom-vezérlője (AGIC) lehetővé teszi, hogy az Application Gatewayt használja bejövő forgalomként egy Azure Kubernetes Service- (AKS-) fürthöz.
A bejövőforgalom-vezérlő podként fut az AKS-fürtben, és a Kubernetes bejövő erőforrásait használja fel, és egy Application Gateway-konfigurációvá alakítja őket, amely lehetővé teszi az átjáró számára a Kubernetes-podok felé irányuló forgalom terheléselosztását. A bejövőforgalom-vezérlő csak az Application Gateway Standard_v2 és WAF_v2 termékváltozatokat támogatja.
További információ: Application Gateway Bejövőforgalom-vezérlő (AGIC).
URL-alapú útválasztás
Az URL-útvonalalapú útválasztás lehetővé teszi, hogy a kérés URL-útvonalai alapján átirányítsa a forgalmat a háttérkiszolgáló-készletekre. Az egyik lehetőség az, hogy a különböző típusú tartalmakra vonatkozó kéréseket különböző készletekhez irányítja.
Például http://contoso.com/video/* iránti kérelmek VideoServerPoolba, míg a http://contoso.com/images/* felé irányuló kérelmek az ImageServerPoolba vannak továbbítva. Ha a kérés egyik elérésiút-kategóriába sem sorolható, a DefaultServerPool az alapértelmezett kiszolgáló.
További információkért tekintse meg az URL-útvonalalapú útválasztás áttekintését.
Több hely üzemeltetése
Az Application Gateway használatával az útválasztást több webalkalmazás gazdagépneve vagy tartományneve alapján konfigurálhatja ugyanazon az application gatewayen. Így hatékonyabb topológiát konfigurálhat telepítéseihez, mivel akár 100-nál is több webhelyet adhat hozzá egyetlen alkalmazásátjáróhoz. Mindegyik webhelyet a saját háttérkészletéhez lehet irányítani. Például három tartomány (contoso.com, fabrikam.com és adatum.com) mutat az alkalmazásátjáró IP címére. Létrehozhat három többhelyes figyelőt, és konfigurálhatja az egyes figyelők esetében a megfelelő port- és protokollbeállítást.
http://contoso.com A kérelmeket a ContosoServerPoolba, http://fabrikam.com a FabrikamServerPoolba irányítják, és így tovább.
Hasonlóképpen, ugyanazon szülőtartomány két altartományát ugyanazon Application Gateway-telepítésről üzemeltetheti. Az altartományok használatának példái között lehet az egyetlen Application Gateway-telepítésen üzemeltetett http://blog.contoso.com és http://app.contoso.com. További információ: Application Gateway multiple site hosting.
A helyettesítő karakterrel ellátott gazdaneveket többhelyes figyelőben és figyelőként legfeljebb 5 gazdanévben is meghatározhatja. További információkért tekintse meg a helyettesítő karakterek gazdanevét a figyelőben.
Átirányítás
Számos webalkalmazás esetében gyakori eset az automatikus HTTP–HTTPS átirányítás annak érdekében, hogy az alkalmazás és a felhasználói közötti kommunikáció titkosított útvonalon történjen.
Korábban olyan technikákat is használhatott, mint a dedikált készlet létrehozása, amelynek egyetlen célja a HTTP-n kapott kérések HTTPS-hez való átirányítása. Az Application Gateway támogatja a forgalom az Application Gateway alapján való átirányításának lehetőségét. Ez leegyszerűsíti az alkalmazáskonfigurációt, optimalizálja az erőforrás-használatot, és új átirányítási forgatókönyveket támogat, például a globális és útvonalalapú átirányítást. Az Application Gateway átirányítási támogatása nem korlátozódik kizárólag HTTP-ről HTTPS-átirányításra. Ez egy általános átirányítási mechanizmus, így a szabályokkal bármilyen megadott portról és portra átirányíthat. A szolgáltatás a külső webhelyre való átirányítást is támogatja.
Az Application Gateway átirányítási támogatása a következő funkciókat nyújtja:
- Globális átirányítás portok között a Gatewayen. Ez lehetővé teszi a HTTP–HTTPS átirányítást egy webhelyen.
- Útvonalalapú átirányítás. Ez a fajta átirányítás csak a megadott webhelyrészen engedélyezi a HTTP–HTTPS átirányítást, például egy
/cart/*kifejezéssel jelzett bevásárlókosár részen. - Átirányítás külső helyre.
További információt az Application Gateway átirányítási áttekintésében talál.
Munkamenet-affinitás
A Cookie-alapú munkamenet-affinitás akkor hasznos, ha egy felhasználói munkamenetet egy adott kiszolgálón szeretne tartani. Az átjáró által felügyelt cookie-k használatával az Application Gateway a felhasználói munkamenetből érkező további forgalmat ugyanarra a kiszolgálóra irányíthatja feldolgozás céljából. Ez a funkció olyan esetekben lehet fontos, amelyekben egy felhasználói munkamenethez tartozó munkamenet-állapotot helyileg ment a rendszer a kiszolgálón.
További információ: Az Application Gateway működése.
Websocket- és HTTP/2-forgalom
Az Application Gateway natív támogatást nyújt a Websocket- és HTTP/2-protokollok számára. Kizárólag WebSocket-támogatásra vonatkozó felhasználói beállítás nem létezik.
A WebSocket és a HTTP/2 protokollok teljes körű duplex kommunikációt tesznek lehetővé egy kiszolgáló és egy ügyfél között egy hosszú ideig futó TCP-kapcsolaton. Ez interaktívabb kommunikációt eredményez a webkiszolgáló és az ügyél között, amely anélkül marad kétirányú, hogy a HTTP-alapú implementációkban kötelező lekérdezésekre lenne szükség. Ezek a protokollok a HTTP-vel ellentétben alacsony többletterheléssel rendelkeznek, és ugyanazt a TCP-kapcsolatot több kérés/válasz esetében is újra felhasználhatják, ami hatékonyabb erőforrás-kihasználtságot eredményez. Ezek a protokollok a hagyományos, 80-as és 443-as HTTP-portokon működnek.
További információ: WebSocket-támogatás és HTTP/2-támogatás.
Kapcsolatkiürítés
Csatlakozás a háttérkészlet tagjainak a tervezett szolgáltatásfrissítések vagy a háttérrendszer állapotával kapcsolatos problémák során történő elegáns eltávolításában segít. Ez a beállítás a háttérbeállításon keresztül engedélyezve van, és a szabály létrehozásakor az összes háttérkészlet-tagra érvényes. Ha engedélyezve van, az Application Gateway biztosítja, hogy a háttérkészlet összes törlési példánya ne kapjon új kéréseket, miközben lehetővé teszi a meglévő kérések konfigurált időn belüli teljesítését. Azokra az esetekre vonatkozik, amikor a háttérpéldányok a következők:
- a háttérkészletből a felhasználó által végzett konfigurációmódosítás után explicit módon el lett távolítva
- állapotadat-mintavételek által nem megfelelőként jelentett, vagy
- a méretezési művelet során el lett távolítva
Az egyetlen kivétel az, ha a kérelmeket az átjáró által felügyelt munkamenet-affinitás miatt továbbra is a regisztrációt megszüntető példányokra próbálják ki.
A WebSocket-kapcsolatok esetében is tiszteletben tartjuk a kapcsolat ürítését. Csatlakozás az átjáró minden egyes frissítéséhez meghívja a kiürítést. A háttérkészlet meglévő tagjaival való kapcsolatvesztés megakadályozása érdekében engedélyezze a kapcsolat kiürítését.
Az időkorlátokról további információt a Háttérrendszer Gépház konfigurációban talál.
Egyéni hibalapok
Az Application Gatewayjel testreszabhatók a hibaoldalak. Az egyéni hibalapokon feltüntetheti saját védjegyeit, és egyéni elrendezést használhat.
További információ: Egyéni hibák.
HTTP-fejlécek és URL átírása
A HTTP-fejlécek lehetővé teszik, hogy az ügyfél és a kiszolgáló további információkat adjon át a kéréssel vagy a válaszsal. A HTTP-fejlécek újraírásával számos fontos forgatókönyvet hajthat végre, például:
- Biztonsági fejlécmezők, például HSTS/ X-XSS-Protection hozzáadása.
- A bizalmas információkat felfedő válaszfejlécmezők eltávolítása.
- Portinformációk leválasztása az X-Forwarded-For fejlécekről.
Az Application Gateway és a WAF v2 termékváltozat támogatja a HTTP-kérések és válaszfejlécek hozzáadását, eltávolítását vagy frissítését, miközben a kérelem- és válaszcsomagok az ügyfél és a háttérkészletek között mozognak. Az URL-címeket, a lekérdezési sztring paramétereit és a gazdanevet is átírhatja. Az URL-átírás és az URL-útvonalalapú útválasztás esetén választhatja, hogy a kéréseket az eredeti útvonal vagy az újraírt útvonal alapján az egyik háttérkészletbe irányítja át az újraértékelési útvonal-leképezési beállítás használatával.
A rendszer feltételek megadását is lehetővé teszi, hogy a meghatározott fejlécek vagy URL-címek átírására csak akkor kerüljön sor, ha a megadott feltételek teljesülnek. Ezek a feltételek a kérelem és a válasz információin alapulnak.
További információ: HTTP-fejlécek és URL-címek átírása.
Méretezés
Az Application Gateway Standard_v2 konfigurálhatók automatikus skálázáshoz vagy rögzített méretű üzemelő példányokhoz. A v2 termékváltozat nem kínál különböző példányméreteket. A v2 teljesítményével és díjszabásával kapcsolatos további információkért lásd : V2 automatikus skálázása és a díjszabás ismertetése.
Az Application Gateway Standard (v1) három méretben érhető el: Kicsi, Közepes és Nagy. A Kicsi méret ideális fejlesztési és tesztelési célokra.
Az Application Gateway korlátainak teljes listáját lásd: Az Application Gateway szolgáltatási korlátozásai.
Az alábbi táblázat az egyes Application Gateway v1-példányok átlagos teljesítmény-átviteli sebességét mutatja, és engedélyezve van az SSL-kiszervezés:
| A háttéroldal válaszának átlagos mérete | Small | Közepes | Nagy |
|---|---|---|---|
| 6 KB | 7,5 Mbps | 13 Mbps | 50 Mbit/s |
| 100 KB | 35 Mbps | 100 Mbit/s | 200 Mbit/s |
Feljegyzés
Ezek az értékek az alkalmazásátjáró hozzávetőleges átviteli sebességét jelzik. A tényleges átviteli sebesség a környezet különböző részleteitől függ, például az átlagos oldalmérettől, a háttérpéldányok helyétől és a lap kiszolgálásának feldolgozási idejétől. A pontos teljesítményszámokhoz saját teszteket kell futtatnia. Ezek az értékek csupán útmutatóul szolgálnak a kapacitástervezéshez.
Verziófunkciók összehasonlítása
Az Application Gateway 1-v2-s verziójú funkcióinak összehasonlítása: Mi az Azure-alkalmazás Átjáró v2.
Következő lépések
- Az Application Gateway működésének ismertetése
- Tekintse át Azure-alkalmazás Átjáróval kapcsolatos gyakori kérdéseket