Что такое Шлюз приложений Azure версии 2?
Шлюз приложений версии 2 — это последняя версия Шлюз приложений. Это обеспечивает преимущества по сравнению с Шлюз приложений версии 1, такими как улучшения производительности, автомасштабирование, избыточность зон и статические IP-адреса.
Внимание
Об отмене Шлюз приложений версии 1 было объявлено 28 апреля 2023 года. Если вы используете номер SKU Шлюз приложений версии 1, начните планирование миграции на версию 2 и завершите миграцию на Шлюз приложений версии 2 к 28 апреля 2026 г. Служба версии 1 не поддерживается после этой даты.
Основные возможности
Номер SKU версии 2 включает следующие улучшения:
Прокси-сервер TCP/TLS (предварительная версия): Шлюз приложений Azure теперь также поддерживает прокси-сервер уровня 4 (протокол TCP) и прокси-сервер TLS (транспортный уровень безопасности). Эта функция сейчас доступна в виде общедоступной предварительной версии. Дополнительные сведения см. в Шлюз приложений обзор прокси-сервера TCP/TLS.
Автомасштабирование. Шлюз приложений или развертывания WAF в ценовой категории с автомасштабированием будут изменять свой масштаб в соответствии с изменениями в объеме трафика. Кроме того, автоматическое масштабирование позволяет не выбирать размер развертывания или количество экземпляров во время подготовки. Этот SKU дает действительно большую гибкость. В SKU Standard_v2 и WAF_v2 Шлюз приложений может работать как с фиксированной емкостью (отключенным автоматическим масштабированием), так и с включенным автоматическим масштабированием. Режим фиксированной емкости подходит для сценариев с постоянной, предсказуемой рабочей нагрузкой. Режим автоматического масштабирования целесообразно использовать в тех приложениях, где трафик сильно меняется.
Избыточность зоны. Развертывание Шлюз приложений или WAF может охватывать несколько Зоны доступности, удаляя необходимость подготовки отдельных экземпляров Шлюз приложений в каждой зоне с Диспетчер трафика. Можно выбрать одну или несколько зон, где развертываются экземпляры Шлюза приложений, и обеспечить большую устойчивость зон к сбоям. Внутренний пул приложений можно аналогичным образом распределить по зонам доступности.
Избыточность между зонами доступна только там, где доступны Зоны Azure. В других регионах поддерживаются все остальные функции. Дополнительные сведения см. в статье Регионы и Зоны доступности в Azure.
Статический ВИРТУАЛЬНЫЙ IP-адрес: Шлюз приложений номер SKU версии 2 поддерживает исключительно статический тип ВИРТУАЛЬНЫх IP-адресов. Статический ВИРТУАЛЬНЫй IP-адрес гарантирует, что виртуальный IP-адрес, связанный с шлюзом приложений, не изменяется для жизненного цикла развертывания даже после перезагрузки. Необходимо использовать URL-адрес шлюза приложений для маршрутизации доменных имен для Служба приложений через шлюз приложений, так как версия 1 не имеет статического IP-адреса.
Перезапись заголовков: Шлюз приложений позволяет добавлять, удалять или обновлять заголовки HTTP-запросов и ответов с помощью SKU версии 2. Дополнительные сведения см. в статье Перезапись HTTP-заголовков с помощью Шлюза приложений.
Интеграция Key Vault: Шлюз приложений версии 2 поддерживает интеграцию с Key Vault для сертификатов сервера, подключенных к прослушивателям с поддержкой HTTPS. Дополнительные сведения см. в статье о завершении TLS-подключений с использованием сертификатов из Key Vault.
Взаимная проверка подлинности (mTLS): Шлюз приложений версии 2 поддерживает проверку подлинности клиентских запросов. Дополнительные сведения см. в разделе "Обзор взаимной проверки подлинности с помощью Шлюз приложений".
Служба Azure Kubernetes контроллер входящего трафика: контроллер входящего трафика версии Шлюз приложений версии 2 позволяет использовать Шлюз приложений Azure в качестве входящего трафика для Служба Azure Kubernetes (AKS), известного как кластер AKS. Дополнительные сведения см. в разделе "Что такое Шлюз приложений контроллер входящего трафика".
Приватный канал. Номер SKU версии 2 обеспечивает частное подключение из других виртуальных сетей в других регионах и подписках с помощью частных конечных точек.
Улучшения производительности. Номер SKU версии 2 обеспечивает более высокую производительность разгрузки TLS до 5X по сравнению с номером SKU standard/WAF.
Более быстрое развертывание и обновление. SKU версии 2 обеспечивает более быстрое развертывание и обновление по сравнению со SKU уровня "Стандартный" и WAF. Более быстрое время также включает изменения конфигурации WAF.
Примечание.
Некоторые из перечисленных здесь возможностей зависят от типа SKU.
Типы SKU
Шлюз приложений версии 2 доступно в двух номерах SKU:
- Базовый (предварительная версия): SKU уровня " Базовый" предназначен для приложений, имеющих более низкие требования к трафику и соглашения об уровне обслуживания, и не требует расширенных функций управления трафиком. Сведения о регистрации общедоступной предварительной версии номера SKU Шлюз приложений Basic см. в разделе "Регистрация для предварительной версии".
- Standard_v2 SKU: номер SKU Standard_v2 предназначен для выполнения рабочих нагрузок и высокого трафика. Она также включает автомасштабирование, которое может автоматически настраивать количество экземпляров в соответствии с потребностями трафика.
В следующей таблице показано сравнение между Базовым и Standard_v2.
| Функция | Возможности | Базовый номер SKU (предварительная версия) | SKU "Стандартный" |
|---|---|---|---|
| Надежность | SLA | 99,9 | 99,95 % |
| Функциональные возможности — базовые | HTTP/HTTP2/HTTPS WebSocket Общедоступный и частный IP-адрес Сходство файлов cookie Сходство на основе пути Подстановочный знак Несколько сайтов Key Vault Зона Перезапись заголовков |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
| Функциональные возможности — расширенные | AKS (через AGIC) Переопределение URL-адресов mTLS Приватный канал Только приватный (предварительная версия) Прокси-сервер TCP/TLS (предварительная версия) |
✓ ✓ ✓ ✓ ✓ ✓ |
|
| Масштабировать | Макс. подключения в секунду Количество прослушивателей Количество внутренних пулов Количество внутренних серверов на пул Количество правил |
2001 5 5 5 5 |
625001 100 100 1200 400 |
| Единица емкости | Подключения в секунду на единицу вычислений Пропускная способность Постоянные новые подключения |
10 2,22 Мбит/с 2500 |
50 2,22 Мбит/с 2500 |
1Оценка на основе использования СЕРТИФИКАТА TLS ключа RSA 2048- разрядной версии.
Цены
С номером SKU версии 2 потребление управляет моделью ценообразования и больше не присоединяется к количеству экземпляров или размерам. Дополнительные сведения см. в разделе Основные сведения о ценах.
Неподдерживаемые регионы
В настоящее время номера SKU Standard_v2 и WAF_v2 недоступны в следующих регионах:
- Восточный Китай
- Северный Китай
- Восточный регион US DoD
- Центральная часть US DoD
Миграция из версии 1 в версию 2
В коллекции PowerShell доступен скрипт Azure PowerShell доступен, который поможет выполнить миграцию из Шлюза приложений или WAF версии 1 в SKU версии 2 с поддержкой автомасштабирования. Этот скрипт поможет скопировать конфигурацию со шлюза версии 1. За миграцию трафика по-прежнему отвечаете вы. Дополнительные сведения см. в статье Миграция Шлюза приложений Azure с версии 1 на версию 2.
Сравнение функций SKU версий 1 и 2
В следующей таблице перечислены функции, доступные в каждом SKU.
| Функция | SKU версии 1 | SKU версии 2 |
|---|---|---|
| Автомасштабирование | ✓ | |
| Избыточность между зонами | ✓ | |
| Статический виртуальный IP-адрес | ✓ | |
| Контроллер входящего трафика Службы Azure Kubernetes | ✓ | |
| Интеграция с Azure Key Vault | ✓ | |
| Перезапись заголовков HTTP(S) | ✓ | |
| Расширенный сетевой элемент управления (NSG, таблица маршрутов, только внешний IP-адрес частного IP-адреса) | ✓ | |
| Маршрутизация на основе URL-адреса | ✓ | ✓ |
| Размещение нескольких сайтов | ✓ | ✓ |
| Взаимная проверка подлинности (mTLS) | ✓ | |
| Поддержка Приватного канала | ✓ | |
| Перенаправление трафика | ✓ | ✓ |
| Web Application Firewall (WAF) | ✓ | ✓ |
| Настраиваемые правила WAF | ✓ | |
| Связи политик WAF | ✓ | |
| Завершение запросов TLS/SSL | ✓ | ✓ |
| Сквозное шифрование TLS | ✓ | ✓ |
| Сходство сеансов | ✓ | ✓ |
| Пользовательские страницы ошибок | ✓ | ✓ |
| Поддержка WebSocket | ✓ | ✓ |
| Поддержка HTTP/2 | ✓ | ✓ |
| Сток подключений | ✓ | ✓ |
| Проверка подлинности NTLM прокси-сервера | ✓ | |
| Кодировка правил на основе пути | ✓ | |
| Шифры DHE | ✓ |
Примечание.
SKU автомасштабирования версии 2 теперь поддерживает пробы работоспособности по умолчанию для автоматического отслеживания работоспособности всех ресурсов в серверном пуле и выделения этих элементов серверной части, которые считаются неработоспособными. Стандартная проверка работоспособности автоматически настраивается для серверных систем, для которых отсутствует пользовательская конфигурация проверки. Дополнительные сведения см. в статье о проверках работоспособности на шлюзе приложений.
Различия от номера SKU версии 1
В этом разделе описываются функции и ограничения SKU версии 2, отличные от SKU версии 1.
| Расхождение | Сведения |
|---|---|
| Смешанное использование Standard_v2 и Шлюза приложений (цен. категория "Стандартный") в той же подсети | Не поддерживается |
| Маршрут, определяемый пользователем в подсети Шлюза приложений | Сведения о поддерживаемых сценариях см. в Шлюз приложений обзоре конфигурации. |
| NSG для диапазона портов входящего трафика | – 65200 до 65535 для SKU Standard_v2. – 65503 до 65534 для SKU (цен. категория "Стандартный"). Дополнительные сведения не требуются для номеров SKU версии 2 в общедоступной предварительной версии. Дополнительные сведения см. в разделе Часто задаваемые вопросы. |
| Журналы производительности в системе диагностики Azure | Не поддерживается. Следует использовать метрики Azure. |
| Режим FIPS | В настоящее время не поддерживается. |
| Только режим настройки частного интерфейса | В настоящее время в общедоступной предварительной версии узнайте больше. |
| Кодировка правил на основе пути | Не поддерживается. Версия 2 декодирует пути перед маршрутизацией. Например, версия 2 обрабатывает /abc%2Fdef то же самое, что /abc/defи . |
| Передача фрагментированных файлов | В конфигурации Standard_V2 отключите буферизацию запросов для поддержки передачи фрагментированных файлов. В WAF_V2 отключение буферизации запросов невозможно, так как он должен просмотреть весь запрос для обнаружения и блокировки угроз. Поэтому рекомендуемая альтернатива заключается в создании правила пути для затронутого URL-адреса и присоединении отключенной политики WAF к этому правилу пути. |
| Сходство файлов cookie | Текущая версия 2 не поддерживает добавление домена в сеансов сходства Set-Cookie, что означает, что файл cookie не может использоваться клиентом для поддоменов. |
| Интеграция с Microsoft Defender для облака | Пока недоступно. |
Зарегистрируйтесь для использования предварительной версии
Выполните следующие команды Azure CLI, чтобы зарегистрировать предварительную версию номера SKU Шлюз приложений Basic.
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Отмена регистрации предварительной версии
Чтобы отменить регистрацию из общедоступной предварительной версии номера SKU уровня "Базовый", выполните следующие действия.
- Удалите все экземпляры номера SKU Шлюз приложений Basic из подписки.
- Запустите такие команды интерфейса командной строки Azure:
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Следующие шаги
В зависимости от требований и среды тестовый шлюз приложений можно создать с помощью портала Azure, Azure PowerShell или Azure CLI: