O que é o Gateway de Aplicativo v2 do Azure?
O Gateway de aplicativo está disponível em um SKU Standard_v2. O Web Application Firewall (WAF) está disponível em um SKU WAF_v2. O SKU v2 oferece aprimoramentos de desempenho e adiciona suporte a novos recursos críticos como dimensionamento automático, redundância de zona e suporte para VIPs estáticos. Os recursos existentes no SKU Standard e WAF continuam a ser compatíveis no novo SKU v2, com algumas exceções listadas na seção comparação.
O novo SKU v2 inclui os seguintes aprimoramentos:
Proxy TCP/TLS (Versão prévia): O Gateway de Aplicativo do Azure agora também dá suporte ao proxy de Camada 4 (protocolo TCP) e TLS (protocolo TLS). Esse recurso está atualmente em visualização pública. Para obter mais informações, consulte Visão geral do proxy TCP/TLS do Gateway de Aplicativo.
Dimensionamento automático: as implantações de gateway de aplicativo ou WAF no SKU de escalonamento automático podem ser escaladas horizontalmente ou com base na mudança dos padrões de carga de tráfego. O escalonamento automático também remove o requisito de escolher um tamanho de implantação ou contagem de instâncias durante o provisionamento. Esse SKU oferece a verdadeira elasticidade. No SKU Standard_v2 e WAF_v2, o Gateway de Aplicativo pode operar tanto em capacidade fixa (dimensionamento automático desabilitado) quanto em modo habilitado em dimensionamento automático. O modo de capacidade fixa é útil para cenários com cargas de trabalho consistentes e previsíveis. O modo de dimensionamento automático é útil em aplicativos que observam variação no tráfego do aplicativo.
Redundância de Zona: Uma implantação do Gateway de Aplicativo ou do WAF pode abranger várias Zonas de Disponibilidade, eliminando a necessidade de provisionar instâncias separadas do Gateway de Aplicativo em cada zona com um Gerenciador de Tráfego. Você pode escolher uma única zona ou várias zonas nas quais as instâncias do Gateway de Aplicativo são implantadas, o que proporciona maior resiliência de falha de zona. O pool de back-end para aplicativos pode ser distribuído de maneira semelhante em Zonas de Disponibilidade.
A redundância de zona está disponível somente quando as Zonas do Azure estão disponíveis. Em outras regiões, todos os outros recursos são compatíveis. Para obter mais informações, confira Regiões e Zonas de Disponibilidade no Azure
VIP estático: O SKU v2 do Gateway de Aplicativo é compatível exclusivamente com o tipo VIP estático. Isso garante que o VIP associado ao gateway de aplicativo não seja alterado durante o ciclo de vida da implantação, mesmo após a reinicialização. Não há um VIP estático no v1, portanto, você deve usar a URL do gateway de aplicativo em vez do endereço IP para rotear os Serviços de Aplicativo por meio do gateway de aplicativo.
Regravação de cabeçalho: O Gateway de Aplicativo permite adicionar, remover ou atualizar os cabeçalhos de solicitação e resposta HTTP com o SKU v2. Para obter mais informações, confira Regravar cabeçalhos HTTP com o Gateway de Aplicativo
Integração do Key Vault: O Gateway de Aplicativo v2 dá suporte à integração com o Key Vault para certificados de servidor que estejam anexados a ouvintes habilitados para HTTPS. Para obter mais informações, confira Encerramento de TLS com certificados do Key Vault.
Autenticação Mútua (mTLS): o Gateway de Aplicativo v2 dá suporte à autenticação de solicitações de cliente. Para saber mais, confira Visão geral da autenticação mútua com o Gateway de Aplicativo.
Controlador de Entrada do Serviço de Kubernetes do Azure: O Controlador de Entrada v2 do Gateway de Aplicativo permite usar o Gateway de Aplicativo do Azure como a entrada para um AKS (Serviço de Kubernetes do Azure), conhecido como Cluster de AKS. Para obter mais informações, consulte O que é o Controlador de Entrada do Gateway de Aplicativo.
Link privado: o SKU v2 oferece conectividade privada de outras redes virtuais em outras regiões e assinaturas por meio do uso de pontos de extremidade privados.
Aprimoramentos de desempenho: O SKU v2 oferece um desempenho de descarregamento de TLS até 5 vezes melhor que o SKU Standard/WAF.
Menor tempo de implementação e atualização: o SKU v2 oferece menor tempo de implantação e atualização em comparação ao SKU Standard/WAF. Isso também inclui alterações na configuração do WAF.
Regiões sem suporte
O SKU Standard_v2 e WAF_v2 não está disponível no momento nas seguintes regiões:
- Norte do Reino Unido
- Sul do Reino Unido 2
- Leste da China
- Norte da China
- EUA DOD Leste
- US DoD Centro
Preços
Com o SKU v2, o modelo de preço é baseado no consumo. Ele não está mais anexado a contagens ou tamanhos de instância. O preço do SKU v2 possui dois componentes:
- Preço fixo – este é um preço por hora (ou hora parcial) para provisionar um gateway Standard_v2 ou WAF_v2. É importante entender que zero instâncias mínimas adicionais ainda garantem alta disponibilidade do serviço e são sempre incluídas com preço fixo.
- Preço da unidade de capacidade - Este é um custo baseado no consumo que é cobrado junto com o custo fixo. O preço da unidade de capacidade também é calculado por hora ou hora parcial. Há três dimensões para a unidade de capacidade - unidade de computação, conexões persistentes e taxa de transferência. A unidade de computação é uma medida da capacidade do processador consumida. Entre os fatores que afetam a unidade de computação, estão as conexões TLS/s, as computações de reescrita de URL e o processamento de regra WAF. A conexão persistente é uma medida de conexões TCP estabelecidas com o gateway de aplicativo em determinado intervalo de cobrança. A taxa de transferência é a média de Megabits/segundo processados pelo sistema em determinado intervalo de cobrança. A cobrança é realizada no nível da Unidade de capacidade para qualquer coisa acima da contagem de instâncias reservadas.
Cada unidade de capacidade é composta de no máximo: 1 unidade de computação, 2.500 conexões persistentes e taxa de transferência de 2,22 Mbps.
Para saber mais, consulte Compreensão de preços.
Comparação de recursos entre SKU v1 e SKU v2
A tabela a seguir compara os recursos disponíveis em cada SKU.
| Recurso | v1 SKU | v2 SKU |
|---|---|---|
| Dimensionamento automático | ✓ | |
| Redundância de zona | ✓ | |
| VIP estático | ✓ | |
| Controlador de entrada do AKS (Serviço de Kubernetes do Azure) | ✓ | |
| Integração do Cofre da Chave do Azure | ✓ | |
| Regravação de cabeçalhos HTTP(S) | ✓ | |
| Controle de rede avançado (NSG, tabela de rotas, somente front-end de IP privado) | ✓ | |
| Roteamento baseado em URL | ✓ | ✓ |
| Hospedagem de vários sites | ✓ | ✓ |
| Autenticação mútua (mTLS) | ✓ | |
| Suporte a Link Privado | ✓ | |
| Redirecionamento de tráfego | ✓ | ✓ |
| Firewall do aplicativo Web (WAF) | ✓ | ✓ |
| Regras personalizadas de WAF | ✓ | |
| Associações de política de WAF | ✓ | |
| Terminação dos protocolos TLS/SSL | ✓ | ✓ |
| Criptografia TLS de ponta a ponta | ✓ | ✓ |
| Afinidade de sessão | ✓ | ✓ |
| Páginas de erro personalizadas | ✓ | ✓ |
| Suporte para WebSocket | ✓ | ✓ |
| Suporte do HTTP/2 | ✓ | ✓ |
| Descarregamento de conexão | ✓ | ✓ |
| Autenticação NTLM de proxy | ✓ | |
| Codificação de regra baseada em caminho | ✓ | |
| Criptografias DHE | ✓ |
Observação
Agora o SKU v2 de dimensionamento automático dá suporte a investigações de integridade padrão para monitorar automaticamente a integridade de todos os recursos no pool de back-end e realçar os membros de back-end considerados não íntegros. A investigação de integridade padrão é configurada automaticamente para back-ends que não têm uma configuração de investigação personalizada. Para saber mais, confira investigações de integridade no gateway de aplicativo.
Diferenças em relação ao SKU v1
Esta seção descreve os recursos e as limitações do SKU v2 que são diferentes do SKU v1.
| Diferença | Detalhes |
|---|---|
| Combinando Standard_v2 e o Gateway de Aplicativo Standard na mesma sub-rede | Sem suporte |
| Rota Definida pelo Usuário (UDR) na sub-rede do Gateway de Aplicativo | Para obter mais informações sobre os cenários com suporte, confira Visão geral da configuração do Gateway de Aplicativo. |
| NSG para o intervalo de porta de entrada | -65200 a 65535 para Standard_v2 SKU -65503 to 65534 para Standard SKU. Não é necessário para SKUs v2 na versão prévia pública Saiba mais. Consulte mais informações em Perguntas Frequentes. |
| Logs de desempenho no diagnóstico do Azure | Sem suporte. As métricas do Azure devem ser usadas. |
| Modo FIPS | Atualmente sem suporte. |
| Modo somente de configuração de front-end privado | Atualmente em versão prévia pública Saiba mais. |
| Codificação de regra baseada em caminho | Sem suporte. O V2 decodifica caminhos antes do roteamento. Por exemplo, v2 trata /abc%2Fdef da mesma forma que /abc/def. |
| Transferência de arquivo em partes | Na configuração Standard_V2, desative o buffer de solicitação para dar suporte à transferência de arquivo em partes. No WAF_V2, não é possível desativar o buffer de solicitação porque ele precisa examinar toda a solicitação para detectar e bloquear ameaças. Portanto, a alternativa sugerida é criar uma regra de caminho para a URL afetada e anexar uma política de WAF desabilitada a essa regra de caminho. |
| Afinidade de cookie | O V2 atual não dá suporte à anexação do domínio na afinidade de sessão Set-Cookie, o que significa que o cookie não pode ser usado pelo cliente para os subdomínios. |
| Integração do Microsoft Defender para Nuvem | Ainda não está disponível. |
Migrar de v1 para v2
Um script do Azure PowerShell está disponível na galeria do PowerShell para ajudar a migrar do Gateway de Aplicativo/WAF v1 para o SKU de Dimensionamento Automático v2. Esse script ajuda a copiar a configuração do gateway v1. A migração de tráfego ainda é de sua responsabilidade. Para obter mais informações, confira Migrar Gateway de Aplicativo do Azure de v1 para v2.
Próximas etapas
Dependendo dos requisitos e do ambiente, você pode criar um Gateway de Aplicativo de teste usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.