Redigera

Dela via


Vanliga frågor och svar om Application Gateway

Kommentar

Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Se Installera Azure PowerShell för att komma igång. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.

Följande vanliga frågor ställs om Azure Application Gateway.

Allmänt

Vad är Application Gateway

Azure Application Gateway tillhandahåller en programleveranskontrollant som en tjänst. Den erbjuder olika lager 7-belastningsutjämningsfunktioner för dina program. Den här tjänsten är mycket tillgänglig, skalbar och fullständigt hanterad av Azure.

Vilka funktioner stöder Application Gateway?

Application Gateway stöder automatisk skalning, TLS-avlastning och TLS från slutpunkt till slutpunkt, en brandvägg för webbprogram (WAF), cookiebaserad sessionstillhörighet, URL-sökvägsbaserad routning, värdtjänster för flera platser och andra funktioner. En fullständig lista över funktioner som stöds finns i Introduktion till Application Gateway.

Hur skiljer sig Application Gateway och Azure Load Balancer åt?

Application Gateway är en layer 7-lastbalanserare, vilket innebär att den endast fungerar med webbtrafik (HTTP, HTTPS, WebSocket och HTTP/2). Den stöder funktioner som TLS-avslutning, cookiebaserad sessionstillhörighet och resursallokering för belastningsutjämningstrafik. Load Balancer lastbalanserar trafik på nivå 4 (TCP eller UDP).

Vilka protokoll stöder Application Gateway?

Application Gateway stöder HTTP, HTTPS, HTTP/2 och WebSocket.

Hur stöder Application Gateway HTTP/2?

Vilka resurser stöds som en del av en serverdelspool?

Se Serverdelsresurser som stöds.

I vilka regioner är Application Gateway tillgängligt?

Application Gateway v1 (Standard och WAF) är tillgängligt i alla regioner i globala Azure. Den är också tillgänglig i Microsoft Azure som drivs av 21Vianet och Azure Government.

För Tillgänglighet för Application Gateway v2 (Standard_v2 och WAF_v2) finns i Regioner som stöds för Application Gateway v2.

Är den här distributionen dedikerad för min prenumeration eller delas den mellan kunder?

Application Gateway är en dedikerad distribution i ditt virtuella nätverk.

Har Application Gateway stöd för HTTP-till-HTTPS-omdirigering?

Omdirigering stöds. Se Översikt över omdirigering av Application Gateway.

I vilken ordning bearbetas lyssnarna?

Se ordningen för lyssnarbearbetning.

Var hittar jag Application Gateway IP och DNS?

Om du använder en offentlig IP-adress som slutpunkt hittar du IP- och DNS-informationen på den offentliga IP-adressresursen. Du kan också hitta den i Azure Portal på översiktssidan för programgatewayen. Om du använder interna IP-adresser hittar du informationen på översiktssidan. För v1-SKU:n har gatewayer som skapats efter den 1 maj 2023 inte ett dns-standardnamn som automatiskt associeras med den offentliga IP-resursen. För V2 SKU öppnar du den offentliga IP-resursen och väljer Konfiguration. Fältet DNS-namnetikett (valfritt) är tillgängligt för att konfigurera DNS-namnet.

Vilka är inställningarna för timeout för Keep-Alive och tidsgränsen för TCP-inaktivitet?

Keep-Alive timeout styr hur länge programgatewayen väntar på att en klient ska skicka en annan HTTP-begäran på en beständig anslutning innan den återanvänds eller stängs. Tidsgränsen för TCP-inaktivitet styr hur länge en TCP-anslutning hålls öppen om det inte finns någon aktivitet.

För HTTP/1.1-anslutningar är tidsgränsen Keep-Alive i Application Gateway v1 och v2 SKU 120 sekunder. För privata IP-adresser kan värdet inte konfigureras med en TCP-timeout på 5 minuter. Tidsgränsen för TCP-inaktivitet är en 4-minuters standardinställning på klientdelens virtuella IP (VIP) för både v1 och v2 SKU för Application Gateway. Du kan konfigurera TCP-timeoutvärdet för inaktivitet på v1- och v2 Application Gateway-instanser så att det är någonstans mellan 4 minuter och 30 minuter. För både v1- och v2 Application Gateway-instanser måste du gå till den offentliga IP-adressen för programgatewayen och ändra tidsgränsen för TCP-inaktivitet under fönstret Konfiguration för den offentliga IP-adressen i portalen. Du kan ange TCP-timeoutvärdet för den offentliga IP-adressen via PowerShell genom att köra följande kommandon:

$publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$publicIP.IdleTimeoutInMinutes = "15"
Set-AzPublicIpAddress -PublicIpAddress $publicIP

För HTTP/2-anslutningar till klientdelens IP-adress på Application Gateway v2 SKU är tidsgränsen för inaktivitet inställd på 180 sekunder och kan inte konfigureras.

Om du vill förhindra konflikter och oväntat beteende kontrollerar du att tidsgränsen för TCP-inaktivitet är inställd på samma som eller längre än tidsgränsen för keep-alive.

Återanvänder Application Gateway den TCP-anslutning som upprättas med en serverdelsserver?

Ja. Application Gateway återanvänder befintliga TCP-anslutningar med en serverdelsserver.

Kan jag byta namn på min Application Gateway-resurs?

Nej. Det går inte att byta namn på en Application Gateway-resurs. Du måste skapa en ny resurs med ett annat namn.

Finns det något sätt att återställa en Application Gateway-resurs och dess offentliga IP-adress om den togs bort?

Nej. Det går inte att återställa en Application Gateway-resurs eller dess offentliga IP-adress efter borttagningen. Du måste skapa en ny resurs.

Ändras IP- eller DNS-namnet under programgatewayens livslängd?

I Application Gateway v1 SKU kan VIP-adressen ändras om du stoppar och startar programgatewayen. Men DNS-namnet som är associerat med programgatewayen ändras inte under gatewayens livslängd. Eftersom DNS-namnet inte ändras bör du använda ett CNAME-alias och peka det på DNS-adressen för programgatewayen. I Application Gateway v2 SKU är IP-adresser statiska, så IP-adressen och DNS-namnet ändras inte under programgatewayens livslängd.

Har Application Gateway stöd för statisk IP-adress?

Ja. Application Gateway v2 SKU stöder statiska offentliga IP-adresser och statiska interna IP-adresser. V1 SKU stöder statiska interna IP-adresser.

Stöder Application Gateway flera offentliga IP-adresser på gatewayen?

En programgateway stöder endast en offentlig IP-adress per IP-protokoll. Om programgatewayen har konfigurerats som DualStack kan den ha stöd för två offentliga IP-adresser, en för IPv4 och en för IPv6.

Hur stort ska jag göra mitt undernät för Application Gateway?

Se Storleksöverväganden för Application Gateway-undernät.

Kan jag distribuera mer än en Application Gateway-resurs till ett enda undernät?

Ja. Förutom flera instanser av en viss Application Gateway-distribution kan du etablera en annan unik Application Gateway-resurs till ett befintligt undernät som innehåller en annan Application Gateway-resurs.

Ett enda undernät kan inte stödja både v2- och v1 Application Gateway-SKU:er.

Stöder Application Gateway v2 användardefinierade vägar?

Ja, men bara specifika scenarier. Mer information finns i Konfiguration av Application Gateway-infrastruktur.

Stöder Application Gateway x-forwarded-for-headers?

Hur lång tid tar det att distribuera en instans av Application Gateway? Kommer min programgateway att fungera medan den uppdateras?

Nya Application Gateway v1 SKU-distributioner kan ta upp till 20 minuter att etablera. Ändringar i instansstorlek eller antal är inte störande och gatewayen förblir aktiv under den här tiden.

De flesta distributioner som använder V2 SKU:n tar cirka 6 minuter att etablera. Processen kan dock ta längre tid beroende på typen av distribution. Distributioner över flera tillgänglighetszoner med många instanser kan till exempel ta mer än 6 minuter.

Hur hanterar Application Gateway rutinunderhåll?

Uppdateringar som initieras till Application Gateway tillämpas en uppdateringsdomän i taget. När varje uppdateringsdomäns instanser uppdateras fortsätter de återstående instanserna i andra uppdateringsdomäner att hantera trafik1. Aktiva anslutningar töms korrekt från de instanser som uppdateras i upp till 5 minuter för att upprätta anslutningar till instanser i en annan uppdateringsdomän innan uppdateringen påbörjas. Under uppdateringen körs Application Gateway tillfälligt med reducerad maximal kapacitet, vilket bestäms av antalet konfigurerade instanser. Uppdateringsprocessen fortsätter endast till nästa uppsättning instanser om den aktuella uppsättningen instanser har uppgraderats.

1 Vi rekommenderar att minst 2 instanser konfigureras för Application Gateway v1 SKU-distributioner för att säkerställa att minst en instans kan hantera trafik medan uppdateringar tillämpas.

Kan jag använda Exchange Server som en serverdel med Application Gateway?

Application Gateway stöder TLS/TCP-protokollproxy via dess Layer 4-proxy i förhandsversionen.

Application Gateways Layer 7-proxy med HTTP-protokoll (S) stöder inte e-postprotokoll som SMTP, IMAP och POP3. För vissa e-posttjänster som stöds, till exempel Outlook Web Access (OWA), ActiveSync och AutoDiscovery-trafik som använder HTTP(S)-protokoll, kan du dock använda Layer 7-proxy och deras trafik bör flöda igenom. (Obs! Undantag i WAF-reglerna kan krävas när du använder en WAF SKU).

Finns det vägledning för migrering från V1 SKU till V2 SKU?

Stöds Application Gateway v1 SKU?

Ja. Application Gateway v1 SKU stöds fortfarande. Vi rekommenderar starkt att du flyttar till v2 för att dra nytta av funktionsuppdateringarna i den SKU:n. Mer information om skillnaderna mellan v1- och v2-funktioner finns i Autoskalning och zonredundant Application Gateway v2. Du kan migrera Application Gateway v1 SKU-distributioner manuellt till v2 genom att följa migreringsdokumentet v1-v2.

Stöder Application Gateway v2 proxybegäranden med NTLM- eller Kerberos-autentisering?

Nej. Application Gateway v2 stöder inte proxybegäranden med NTLM- eller Kerberos-autentisering.

Varför finns det inte några huvudvärden när begäranden vidarebefordras till mitt program?

Namn på begäranderubriker kan innehålla alfanumeriska tecken och bindestreck. Namn på begäranderubriker som innehåller andra tecken ignoreras när en begäran skickas till serverdelsmålet. Namn på svarshuvud kan innehålla alfanumeriska tecken och specifika symboler enligt definitionen i RFC 7230.

Har Application Gateway-cookien för tillhörighet stöd för attributet SameSite?

Ja. Chromium browser v80-uppdateringen introducerade ett mandat på HTTP-cookies utan attributet SameSite som skulle behandlas som SameSite=Lax. Det innebär att tillhörighetscookien för Application Gateway inte skickas av webbläsaren i en kontext från tredje part.

För att stödja det här scenariot matar Application Gateway in en annan cookie som anropas ApplicationGatewayAffinityCORS utöver den befintliga ApplicationGatewayAffinity cookien. Dessa cookies liknar dem, men cookien ApplicationGatewayAffinityCORS har ytterligare två attribut: SameSite=None och Secure. Dessa attribut underhåller klibbiga sessioner även för begäranden mellan ursprung. Mer information finns i avsnittet Cookiebaserad tillhörighet.

Vad anses vara en aktiv lyssnare jämfört med en inaktiv lyssnare?

En aktiv lyssnare är en lyssnare som är associerad med en regel och som skickar trafik till en serverdelspool. Alla lyssnare som bara omdirigerar trafik är inte en aktiv lyssnare. Lyssnare som är associerade med omdirigeringsregler anses inte vara aktiva. Om omdirigeringsregeln är en sökvägsbaserad regel måste alla sökvägar i omdirigeringsregeln omdirigera trafik, annars anses lyssnaren vara aktiv. Information om enskilda komponenter finns i Azure-prenumerations- och tjänstgränser, kvoter och begränsningar.

Prestanda

Hur stöder Application Gateway hög tillgänglighet och skalbarhet?

Application Gateway v1 SKU stöder scenarier med hög tillgänglighet när du har distribuerat två eller flera instanser. Azure distribuerar dessa instanser över uppdaterings- och feldomäner för att säkerställa att alla instanser inte misslyckas samtidigt. V1 SKU stöder skalbarhet genom att lägga till flera instanser av samma gateway för att dela belastningen.

V2 SKU säkerställer automatiskt att nya instanser sprids över feldomäner och uppdateringsdomäner. Om du väljer zonredundans är de senaste instanserna också spridda över tillgänglighetszoner för att erbjuda zonindelad återhämtning av fel.

Hur gör jag för att uppnå ett haveriberedskapsscenario mellan datacenter med hjälp av Application Gateway?

Använd Azure Traffic Manager för att distribuera trafik över flera programgatewayer i olika datacenter.

Stöder Application Gateway att anslutningen töms?

Ja. Du kan konfigurera anslutningsdränering för att ändra medlemmar i en serverdelspool utan avbrott. Mer information finns i avsnittet Anslutningsdränering i Application Gateway.

Stöder Application Gateway automatisk skalning?

Ja, Application Gateway v2 SKU stöder automatisk skalning. Mer information finns i Autoskalning och zonredundant Application Gateway.

Orsakar manuell eller automatisk uppskalning eller nedskalning driftstopp?

Nej. Instanser distribueras över uppgraderingsdomäner och feldomäner.

Kan jag byta från en Standard till en WAF SKU utan avbrott?

Ja.

Kan jag ändra instansstorleken från medelhög till stor utan avbrott?

Ja.

Konfiguration

Distribueras Application Gateway alltid i ett virtuellt nätverk?

Ja. Application Gateway distribueras alltid i ett virtuellt nätverksundernät. Det här undernätet kan bara innehålla programgatewayer. Mer information finns i Krav för virtuellt nätverk och undernät.

Kan Application Gateway kommunicera med instanser utanför det virtuella nätverket eller utanför prenumerationen?

Om du har IP-anslutning kan Application Gateway kommunicera med instanser utanför det virtuella nätverk som den finns i. Application Gateway kan också kommunicera med instanser utanför den prenumeration som den finns i. Om du planerar att använda interna IP-adresser som medlemmar i serverdelspoolen använder du peering för virtuella nätverk eller Azure VPN Gateway.

Hur uppdateras IP-adressen för en FQDN-baserad serverdelsserver?

Precis som alla DNS-matchare respekterar Application Gateway-resursen TTL-värdet (Time to Live) för serverdelsserverns DNS-post. När TTL upphör att gälla utför gatewayen en sökning för att uppdatera DNS-informationen. Om din programgateway under den här sökningen får problem med att få ett svar (eller om ingen DNS-post hittas) fortsätter gatewayen att använda det senast kända DNS-värdet för att hantera trafiken. Mer information finns i Så här fungerar en programgateway.

Varför visas 502-fel eller felaktiga serverdelsservrar när jag har ändrat DNS-servrarna för det virtuella nätverket?

Instanserna av din programgateway använder det virtuella nätverkets DNS-konfiguration för namnmatchning. När du har ändrat dns-serverkonfigurationen måste du starta om (stoppa och starta) programgatewayen för att de nya DNS-servrarna ska tilldelas. Fram till dess kan FQDN-baserade namnmatchningar för utgående anslutning misslyckas.

Kan jag distribuera något annat i Application Gateway-undernätet?

Nej. Men du kan distribuera andra programgatewayer i undernätet.

Kan jag ändra det virtuella nätverket eller undernätet för en befintlig programgateway?

Du kan bara flytta en programgateway mellan undernät inom samma virtuella nätverk. Det stöds med v1 med en offentlig och privat klientdel (dynamisk allokering) och v2 med endast en offentlig klientdel. Vi kan inte flytta programgatewayen till ett annat undernät om IP-konfigurationen för den privata klientdelen är statiskt allokerad. Programgatewayen ska vara i tillståndet Stoppad för att utföra den här åtgärden. Om du stoppar eller startar v1 ändras den offentliga IP-adressen. Den här åtgärden kan bara utföras med hjälp av Azure PowerShell och Azure CLI genom att köra följande kommandon:

Azure PowerShell

$VNet = Get-AzVirtualNetwork -Name "<VNetName>" -ResourceGroupName "<ResourceGroup>"
$Subnet = Get-AzVirtualNetworkSubnetConfig -Name "<NewSubnetName>" -VirtualNetwork $VNet
$AppGw = Get-AzApplicationGateway -Name "<ApplicationGatewayName>" -ResourceGroupName "<ResourceGroup>"
Stop-AzApplicationGateway -ApplicationGateway $AppGw
$AppGw = Set-AzApplicationGatewayIPConfiguration -ApplicationGateway $AppGw -Name $AppGw.GatewayIPConfigurations.Name -Subnet $Subnet
#If you have a private frontend IP configuration, uncomment and run the next line:
#$AppGw = Set-AzApplicationGatewayFrontendIPConfig -Name $AppGw.FrontendIPConfigurations.Name[1] -Subnet $Subnet -ApplicationGateway $AppGw
Set-AzApplicationGateway -ApplicationGateway $AppGw

Mer information finns i Set-AzApplicationGatewayIPConfiguration.

Azure CLI

az network application-gateway stop -g <ResourceGroup> -n <ApplicationGatewayName>
az network application-gateway update -g <ResourceGroup> -n <ApplicationGatewayName> --set gatewayIpConfigurations[0].subnet.id=<subnetID>

Stöds nätverkssäkerhetsgrupper i Application Gateway-undernätet?

Stöder Application Gateway-undernätet användardefinierade vägar?

Stöds tjänstslutpunktsprinciper i Application Gateway-undernätet?

Nej. Tjänstslutpunktsprinciper för lagringskonton stöds inte i Application Gateway-undernätet och konfigurerar den blockerar Azure-infrastrukturtrafik.

Vilka är gränserna för Application Gateway? Kan jag öka dessa gränser?

Se Begränsningar för Application Gateway.

Kan jag samtidigt använda Application Gateway för både extern och intern trafik?

Ja. Application Gateway stöder en intern IP-adress och en extern IP-adress per programgateway.

Stöder Application Gateway peering för virtuella nätverk?

Ja. Peering för virtuella nätverk hjälper till att belastningsbalansera trafik i andra virtuella nätverk.

Kan jag prata med lokala servrar när de är anslutna via Azure ExpressRoute eller VPN-tunnlar?

Ja, så länge trafik tillåts.

Kan en serverdelspool hantera många program på olika portar?

Mikrotjänstarkitektur stöds. Om du vill avsöka på olika portar måste du konfigurera flera serverdelsinställningar.

Stöder anpassade avsökningar jokertecken eller regex på svarsdata?

Nej.

Hur bearbetas routningsregler i Application Gateway?

Vad betyder fältet **Värd** för anpassade avsökningar?

Fältet Värd anger namnet som avsökningen ska skickas till när du har konfigurerat multisite på Application Gateway. Annars använder du 127.0.0.1. Det här värdet skiljer sig från värdnamnet för den virtuella datorn. Dess format är <protocol>://<host>:<port><path>.

Kan jag bara tillåta Application Gateway-åtkomst till några få käll-IP-adresser?

Kan jag använda samma port för offentliga och privata lyssnare?

Ja, du kan använda offentliga och privata lyssnare med samma portnummer för att samtidigt stödja offentliga och privata klienter. Om en nätverkssäkerhetsgrupp (NSG) är associerad med programgatewayens undernät kan en specifik inkommande regel behövas beroende på dess konfiguration. Få mer information.

Stöder Application Gateway IPv6?

Application Gateway v2 stöder IPv4- och IPv6-klientdelar. För närvarande är IPv6-stöd endast tillgängligt för nya programgatewayer. För att stödja IPv6 bör det virtuella nätverket vara en dubbel stack. Application Gateway v1 stöder inte virtuella nätverk med dubbla staplar.

Stöder Application Gateway FIPS?

Application Gateway v1 SKU:er kan köras i ett FIPS 140-2-godkänt driftsläge, vilket ofta kallas "FIPS-läge". FIPS-läge anropar en FIPS 140-2-verifierad kryptografimodul som säkerställer FIPS-kompatibla algoritmer för kryptering, hashning och signering när det är aktiverat. För att säkerställa att FIPS-läget är aktiverat FIPSMode måste inställningen konfigureras via PowerShell, Azure Resource Manager-mallen eller REST-API:et när prenumerationen har registrerats för att aktivera konfigurationen av FIPSmode.

Obs! Som en del av FedRAMP-efterlevnaden kräver amerikanska myndigheter att systemen fungerar i ett FIPS-godkänt läge efter augusti 2024.

Steg för att aktivera FIPS-läge i V1 SKU:

Steg 1: Registrera funktionen AllowApplicationGatewayEnableFIPS för att registrera prenumerationen för KONFIGURATION av FIPS-läge.

Om du vill registrera dig med Azure PowerShell öppnar du en Cloud Shell-prompt och anger följande:

Register-AzProviderFeature -FeatureName AllowApplicationGatewayEnableFIPS -ProviderNamespace Microsoft.Network

Så här registrerar du med hjälp av Azure Portal:

  • Logga in på Azure Portal och sök efter förhandsversionsfunktioner.
  • Ange AllowApplicationGatewayEnableFIPS i filterrutan. Välj Application Gateway V1 Tillåt FIPS-läge och välj sedan Registrera.

Steg 2: Ange egenskapen enableFips till True med hjälp av PowerShell, Azure Resource Manager-mallen eller REST-API:et.

# Get the application gateway
$appgw = Get-AzApplicationGateway -Name <ApplicationGatewayName> -ResourceGroupName <ResourceGroupName>
# Set the EnableFips property
$appgw.EnableFips = $true
# Update the application gateway
Set-AzApplicationGateway -ApplicationGateway $appgw

Att ändra FIPS-läge påverkar inte den totala tillgängligheten för chiffersviter på V1-gatewayer. Men när du använder elliptisk kurvkryptografi för chiffer, med FIPS-läge inaktiverat kan du använda curve25519, NistP256 och NistP384, medan med FIPS-läge aktiverat endast NistP256 och NistP384 tillåts och kurva25519 inaktiveras. Eftersom curve25519 blir otillgänglig i FIPS-läge kontrollerar du att dina klienter stöder NistP256 eller NistP384 för säker kommunikation innan du aktiverar FIPS.

Hur gör jag för att använda Application Gateway v2 med endast en privat IP-adress för klientdelen?

Application Gateway v2 stöder för närvarande endast privat IP-klientdelskonfiguration (ingen offentlig IP-adress) via offentlig förhandsversion. Mer information finns i Distribution av privat Application Gateway (förhandsversion).

För den aktuella allmänna tillgänglighetssupporten stöder Application Gateway v2 följande kombinationer:

  • Privat IP-adress och offentlig IP-adress
  • Endast offentlig IP-adress

Följ den här processen om du bara vill begränsa trafik till privata IP-adresser med aktuella funktioner:

  1. Skapa en programgateway med både offentlig och privat klientdels-IP-adress.

  2. Skapa inga lyssnare för den offentliga IP-adressen för klientdelen. Application Gateway lyssnar inte på någon trafik på den offentliga IP-adressen om inga lyssnare har skapats för den.

  3. Skapa och koppla en nätverkssäkerhetsgrupp för Application Gateway-undernätet med följande konfiguration i prioritetsordning:

    1. Tillåt trafik från Källa som tjänsttaggen GatewayManager, Mål som alla och målporten som 65200-65535. Det här portintervallet krävs för Azure-infrastrukturkommunikation. Dessa portar skyddas (låsta) av certifikatautentisering. Externa entiteter, inklusive gatewayanvändarens administratörer, kan inte initiera ändringar på dessa slutpunkter utan lämpliga certifikat på plats.

    2. Tillåt trafik från källan som tjänsttaggen AzureLoadBalancer och målporten som alla.

    3. Neka all inkommande trafik från Källan som tjänsttaggen Internet och målporten som alla. Ge den här regeln minst prioritet i reglerna för inkommande trafik.

    4. Behåll standardreglerna som AllowVNetInBound så att åtkomsten till en privat IP-adress inte blockeras.

    5. Utgående internetanslutning kan inte blockeras. Annars får du problem med loggning och mått.

Exempel på NSG-konfiguration för åtkomst med endast privat IP-adress: Application Gateway v2 NSG-konfiguration endast för privat IP-åtkomst

Hur kan jag stoppa och starta Application Gateway?

Du kan använda Azure PowerShell eller Azure CLI för att stoppa och starta Application Gateway. När du stoppar och startar Application Gateway stoppas och startas även faktureringen . En PUT-åtgärd som utförs på en stoppad programgateway (som att lägga till tagg, hälsoavsökning eller lyssnare) utlöser en start. Vi rekommenderar att du stoppar programgatewayen när konfigurationen har uppdaterats.

# Stop an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Stop-AzApplicationGateway -ApplicationGateway $appGateway       
# Start an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Start-AzApplicationGateway -ApplicationGateway $appGateway           
# Stop an existing Azure Application Gateway instance

az network application-gateway stop -g MyResourceGroup -n MyAppGateway
# Start an existing Azure Application Gateway instance

az network application-gateway start -g MyResourceGroup -n MyAppGateway

Konfiguration: TLS

Vilka certifikat stöder Application Gateway?

Application Gateway stöder självsignerade certifikat, certifikatutfärdarcertifikat (CA), EV-certifikat (Extended Validation), SAN-certifikat (Multi-Domain) och jokerteckencertifikat.

Vilka chiffersviter stöder Application Gateway?

Application Gateway stöder följande chiffersviter:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Information om hur du anpassar TLS-alternativ finns i Konfigurera TLS-principversioner och chiffersviter på Application Gateway.

Stöder Application Gateway omkryptering av trafik till serverdelen?

Ja. Application Gateway stöder TLS-avlastning och TLS från slutpunkt till slutpunkt, som omkrypterar trafik till serverdelen.

Kan jag konfigurera TLS-principen för att kontrollera TLS-protokollversioner?

Ja. Du kan konfigurera Application Gateway för att neka TLS1.0, TLS1.1 och TLS1.2. Som standard är SSL 2.0 och 3.0 redan inaktiverade och kan inte konfigureras.

Kan jag konfigurera chiffersviter och principordning?

Ja. I Application Gateway kan du konfigurera chiffersviter. Om du vill definiera en anpassad princip aktiverar du minst en av följande chiffersviter:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway använder SHA256 för serverdelshantering.

Hur många TLS/SSL-certifikat stöder Application Gateway?

Application Gateway stöder upp till 100 TLS/SSL-certifikat.

Har Application Gateway stöd för OCSP- och OCSP-häftning?

Ja, Application Gateway stöder certifikat med OCSP-tillägg och OCSP-häftning för servercertifikat.

Hur många autentiseringscertifikat för serverdelsrekryptering stöder Application Gateway?

Application Gateway stöder upp till 100 autentiseringscertifikat.

Integreras Application Gateway internt med Azure Key Vault?

Ja, Application Gateway v2 SKU stöder Key Vault. Läs mer i TLS-avslutning med Key Vault-certifikat.

Hur gör jag för att konfigurera HTTPS-lyssnare för .com och .net-webbplatser?

För flera domänbaserade (värdbaserade) routningar kan du skapa lyssnare med flera platser, konfigurera lyssnare som använder HTTPS som protokoll och associera lyssnarna med routningsreglerna. Mer information finns i Hantera flera webbplatser med hjälp av Application Gateway.

Kan jag använda specialtecken i mitt .pfx-fillösenord?

Nej. Använd endast alfanumeriska tecken i .pfx-fillösenordet.

Mitt EV-certifikat utfärdas av DigiCert och mitt mellanliggande certifikat har återkallats. Hur gör jag för att förnya mitt certifikat på Application Gateway?

CA/Browser-medlemmar publicerade nyligen rapporter som beskriver flera certifikat som utfärdats av CA-leverantörer som används av våra kunder, Microsoft och den större teknikcommunityn som inte uppfyllde branschstandarderna för offentligt betrodda certifikatutfärdare. Rapporterna om de icke-kompatibla certifikatutfärdarna finns här:

Enligt branschens efterlevnadskrav började CA-leverantörer återkalla icke-kompatibla certifikatutfärdare och utfärda kompatibla certifikatutfärdare, vilket kräver att kunderna får sina certifikat återutgivna. Microsoft samarbetar nära med dessa leverantörer för att minimera den potentiella påverkan på Azure-tjänster. Dina självutgivna certifikat eller certifikat som används i BYOC-scenarier (Bring Your Own Certificate) riskerar dock fortfarande att återkallas oväntat.

Information om hur du kontrollerar om certifikat som används av ditt program har återkallats finns i DigiCerts meddelande och spåraren för återkallade certifikat. Om dina certifikat har återkallats eller kommer att återkallas måste du begära nya certifikat från ca-leverantören som används i dina program. Information om hur du undviker att programmets tillgänglighet avbryts på grund av att certifikat oväntat återkallas eller för att uppdatera ett certifikat som har återkallats finns i Återkallande av icke-kompatibla certifikatutfärdare som potentiellt påverkar kundens Azure-tjänster.

Information som är specifik för Application Gateway:

Om du använder ett certifikat som utfärdats av en av de återkallade ICA:erna kan programmets tillgänglighet avbrytas. Beroende på ditt program kan du få olika felmeddelanden, inklusive men inte begränsat till:

  • Ogiltigt certifikat/återkallat certifikat
  • Anslutningens tidsgräns uppnåddes
  • HTTP 502

För att undvika avbrott i ditt program på grund av det här problemet eller för att återisera en ca som har återkallats, måste du vidta följande åtgärder:

  1. Kontakta certifikatleverantören om hur du återutfärdar dina certifikat.
  2. När de har återutfärdats uppdaterar du dina certifikat på Application Gateway/WAF med den fullständiga förtroendekedjan (löv-, mellan- och rotcertifikat). Baserat på var du använder certifikatet, antingen på lyssnaren eller HTTP-inställningarna för programgatewayen, följer du stegen här för att uppdatera certifikaten. Mer information finns i de dokumentationslänkar som nämns.
  3. Uppdatera serverdelsprogramservrarna så att de använder det återutgivna certifikatet. Beroende på vilken serverdelsserver du använder kan stegen för certifikatuppdatering variera. Sök efter dokumentationen från leverantören.

Så här uppdaterar du certifikatet i lyssnaren:

  1. Öppna din Application Gateway-resurs i Azure Portal.
  2. Öppna lyssnarinställningarna som är associerade med certifikatet.
  3. Välj Förnya eller redigera markerat certifikat.
  4. Ladda upp ditt nya PFX-certifikat med lösenordet och välj Spara.
  5. Öppna webbplatsen och kontrollera om webbplatsen fungerar som förväntat. Mer information finns i Förnya Application Gateway-certifikat.

Om du refererar till certifikat från Key Vault i Application Gateway-lyssnaren rekommenderar vi följande steg för en snabb ändring:

  1. I Azure Portal går du till dina Key Vault-inställningar som är associerade med programgatewayen.
  2. Lägg till eller importera det återutgivna certifikatet i ditt arkiv. Mer information finns i Snabbstart: Skapa ett nyckelvalv med hjälp av Azure Portal.
  3. När certifikatet har importerats går du till inställningarna för Application Gateway-lyssnaren och under Välj ett certifikat från Key Vault väljer du listrutan Certifikat och väljer det nyligen tillagda certifikatet.
  4. Välj Spara. Mer information om TLS-avslutning på Application Gateway med Key Vault-certifikat finns i TLS-avslutning med Key Vault-certifikat.

Så här uppdaterar du certifikatet i HTTP-inställningarna:

Om du använder V1 SKU:n för Application Gateway/WAF-tjänsten måste du ladda upp det nya certifikatet som ditt serverdelsautentiseringscertifikat.

  1. Öppna din Application Gateway-resurs i Azure Portal.
  2. Öppna DE HTTP-inställningar som är associerade med certifikatet.
  3. Välj Lägg till certifikat, ladda upp det återutgivna certifikatet och välj Spara.
  4. Du kan ta bort det gamla certifikatet senare genom att välja knappen ... alternativ bredvid det gamla certifikatet. Välj Ta bort och välj sedan Spara. Mer information finns i Konfigurera TLS från slutpunkt till slutpunkt med hjälp av Application Gateway med portalen.

Om du använder V2 SKU:n för Application Gateway/WAF-tjänsten behöver du inte ladda upp det nya certifikatet i HTTP-inställningarna eftersom V2 SKU använder "betrodda rotcertifikat" och ingen åtgärd behöver vidtas här.

Konfiguration – TLS/TCP-proxy

Använder Application Gateways Layer 7- och Layer 4 samma IP-adresser på klientsidan?

Ja. Både Layer 7- och Layer 4-routning via programgatewayen använder samma IP-konfiguration på klientdelen. På så sätt kan du dirigera alla dina klienter till en enda IP-adress (offentlig eller privat) och samma gatewayresurs dirigerar dem baserat på de konfigurerade lyssnarprotokollen och portarna.

Kan jag använda TCP- eller TLS-proxy för HTTP-trafik?

Även om HTTP-trafik (S) kan hanteras via L4-proxyprotokoll, rekommenderar vi inte att du gör det. L7-proxylösningen för Application Gateway ger större kontroll och säkerhet över HTTP(S)-protokollen via avancerade funktioner som Omskrivningar, Sessionstillhörighet, Omdirigering, WebSockets, WAF med mera.

Vilka är egenskapsnamnen för Layer 4-proxy?

Resursegenskaperna för Layer 4-funktioner skiljer sig från Layer 7-funktionerna. När du använder REST API eller CLI måste du därför använda följande egenskaper.

Property Syfte
åhörare För TLS- eller TCP-baserade lyssnare
routingRule Associera en layer 4-lyssnare med en layer 4-serverdelsinställning
backendSettingsCollection För TLS- eller TCP-baserade serverdelsinställningar

Kommentar

Du kan inte använda några layer 4-egenskaper för HTTP- eller HTTPS-protokollinställningar.

Kan jag mappa en TCP/TLS-protokolllyssnare med en HTTP(S) protokollserverdelsinställning?

Nej. Du kan inte korslänka layer 4- och layer 7-egenskaper. Därför kan du med en routningsregel endast länka en lyssningsfunktion av Layer 4-typ till en serverdelsinställning av Layer 4-typ.

Kan egenskaperna L7 och L4 ha samma namn?

Du kan inte använda samma namn för en L7 (httpListeners) och L4 (lyssnare). Detta gäller även för andra L4-egenskaper som backendSettingsCollection och routingRules.

Kan jag lägga till privat slutpunkt i en serverdelspool när jag använder Layer 4 -protokoll (TCP eller TLS)?

Absolut. På samma sätt som med Layer 7-proxyn kan du lägga till en privat slutpunkt i serverdelspoolen för din programgateway. Den här privata slutpunkten måste distribueras i ett intilliggande undernät i samma virtuella nätverk för din programgateway.

Använder Application Gateway Keepalive-anslutning för serverdelsservrar?

Den använder inte Keepalive för serverdelsanslutningar. För varje inkommande begäran på klientdelslyssnaranslutningen initierar Application Gateway en ny serverdelsanslutning för att uppfylla den begäran.

Vilken IP-adress ser serverdelsservern när en anslutning upprättas med Application Gateway?

Serverdelsservern ser IP-adressen för programgatewayen. För närvarande stöder vi inte "Klient-IP-bevarande" genom vilket serverdelsprogrammet kan göras medvetet om den ursprungliga klientens IP-adress.

Hur ställer jag in TLS-principen för TLS-lyssnare?

Samma TLS/SSL-principkonfiguration gäller för både Layer 7 (HTTPS) och Layer 4 (TLS). Nu kan du använda SSL-profil (för lyssnarspecifik TLS-princip och ömsesidig autentisering) för TLS-lyssnare. För närvarande kan dock en SSL-profil associeras med en TLS-lyssnare endast via CLI, PowerShell eller REST API.

Stöder Application Gateway sessionstillhörighet för Layer 4-routning?

Nej. Routning av en klient till samma serverdelsserver stöds inte just nu. Anslutningarna distribueras på ett resursallokeringssätt till servrarna i en serverdelspool.

Fungerar funktionen autoskalning med Layer 4-proxy?

Ja, autoskalningsfunktionen fungerar även för toppar och minskningar av trafiken för TLS- eller TCP-protokoll.

Stöds brandväggen för webbaserade program (WAF) för Layer 4-trafik?

Waf-funktionerna (Web Application Firewall) fungerar inte för Layer 4-användning.

Stöder Application Gateways Layer 4-proxy UDP-protokoll?

Nej. UDP-stöd är inte tillgängligt just nu.

Vilka portar stöds för TLS/TCP-lyssnare?

Samma lista över tillåtna portintervall och undantag gäller även för Layer 4-proxyn.

Hur kan jag använda samma portnummer för offentliga och privata TLS/TCP-proxylyssnare?

Användning av en gemensam port för TLS/TCP-lyssnare stöds för närvarande inte.

Konfiguration – ingresskontrollant för AKS

Vad är en ingresskontrollant?

Kubernetes gör det möjligt att skapa deployment och service resurser för att exponera en grupp poddar internt i klustret. För att exponera samma tjänst externt definieras en Ingress resurs som tillhandahåller belastningsutjämning, TLS-avslutning och namnbaserad virtuell värd. För att uppfylla den här Ingress resursen krävs en ingresskontrollant som lyssnar efter ändringar Ingress i resurser och konfigurerar lastbalanseringsprinciperna.

Application Gateway Ingress Controller (AGIC) tillåter att Application Gateway används som ingress för en Azure Kubernetes-tjänst, även kallat ett AKS-kluster.

Kan jag konfigurera Application Gateway direkt i stället för att använda ingresskontrollant?

Direktkonfiguration av Application Gateway stöds inte.

Om det finns ett behov av att ändra inställningarna på Application Gateway gör du ändringen med hjälp av den exponerade konfigurationen på ingresskontrollanten eller andra Kubernetes-objekt, till exempel genom att använda anteckningar som stöds. När en Application Gateway är länkad till Application Gateway Ingress Controller (AGIC) synkroniseras nästan all konfiguration av den gatewayen och styrs av ingresskontrollanten. Om du försöker konfigurera Application Gateway direkt imperativt eller via infrastruktur som kod skrivs ändringarna slutligen över av ingresskontrollanten.

Kan en enda ingresskontrollantinstans hantera flera programgatewayer?

För närvarande kan en instans av en ingresskontrollant endast associeras till en programgateway.

Varför fungerar inte mitt AKS-kluster med kubenet med AGIC?

AGIC försöker automatiskt associera routningstabellresursen till Application Gateway-undernätet, men kan misslyckas på grund av bristande behörigheter från AGIC. Om AGIC inte kan associera routningstabellen till Application Gateway-undernätet visas ett fel i AGIC-loggarna. I det här fallet måste du manuellt associera routningstabellen som skapats av AKS-klustret till Application Gateways undernät. Mer information finns i Användardefinierade vägar som stöds.

Kan jag ansluta mitt AKS-kluster och min programgateway i separata virtuella nätverk?

Ja, så länge de virtuella nätverken är peerkopplade och de inte har överlappande adressutrymmen. Om du kör AKS med kubenet måste du associera routningstabellen som genereras av AKS till Application Gateway-undernätet.

Vilka funktioner stöds inte i AGIC-tillägget?

Skillnaderna mellan AGIC som distribueras via Helm jämfört med distribueras som ett AKS-tillägg finns i Skillnaden mellan Helm-distribution och AKS-tillägg.

När ska jag använda tillägget jämfört med Helm-distributionen?

Skillnaderna mellan AGIC som distribueras via Helm jämfört med distribueras som ett AKS-tillägg finns i Skillnaden mellan Helm-distribution och AKS-tillägg, särskilt tabellerna som dokumenterar vilka scenarier som stöds av AGIC som distribueras via Helm i stället för ett AKS-tillägg. När du distribuerar via Helm kan du i allmänhet testa betafunktioner och släppa kandidater innan en officiell version.

Kan jag styra vilken version av AGIC som distribueras med tillägget?

Nej. AGIC-tillägget är en hanterad tjänst, vilket innebär att Microsoft automatiskt uppdaterar tillägget till den senaste stabila versionen.

Konfiguration: Ömsesidig autentisering

Vad är ömsesidig autentisering?

Ömsesidig autentisering är dubbelriktad autentisering mellan en klient och en server. Ömsesidig autentisering med Application Gateway gör för närvarande att gatewayen kan verifiera att klienten skickar begäran, vilket är klientautentisering. Vanligtvis är klienten den enda som autentiserar programgatewayen. Eftersom Application Gateway nu också kan autentisera klienten blir det ömsesidig autentisering där Application Gateway och klienten autentiserar varandra ömsesidigt.

Är ömsesidig autentisering tillgänglig mellan Application Gateway och dess serverdelspooler?

Nej, ömsesidig autentisering är för närvarande endast mellan klientdelsklienten och programgatewayen. Ömsesidig autentisering i serverdelen stöds för närvarande inte.

Diagnostik och loggning

Vilka typer av loggar tillhandahåller Application Gateway?

Application Gateway innehåller tre loggar:

  • ApplicationGatewayAccessLog: Åtkomstloggen innehåller varje begäran som skickas till programgatewayens klientdel. Data inkluderar anroparens IP-adress, begärda URL:er, svarssvarstid, returkod och byte in och ut. Den innehåller en post per programgateway.
  • ApplicationGatewayPerformanceLog: Prestandaloggen samlar in prestandainformation för varje programgateway. Informationen omfattar dataflödet i byte, totalt antal begäranden som hanteras, antal misslyckade begäranden och felfritt antal serverdelsinstanser.
  • ApplicationGatewayFirewallLog: För programgatewayer som du konfigurerar med WAF innehåller brandväggsloggen begäranden som loggas via antingen identifieringsläge eller förebyggande läge.

Alla loggar samlas in var 60:e sekund. Mer information finns i Serverdelshälsa, diagnostikloggar och mått för Application Gateway.

Hur gör jag för att vet om mina medlemmar i serverdelspoolen är felfria?

Kontrollera hälsotillståndet med hjälp av PowerShell-cmdleten Get-AzApplicationGatewayBackendHealth eller portalen. Mer information finns i Application Gateway-diagnostik.

Vad är kvarhållningsprincipen för diagnostikloggarna?

Diagnostikloggar flödar till kundens lagringskonto. Kunder kan ange kvarhållningsprincipen baserat på deras önskemål. Diagnostikloggar kan också skickas till en händelsehubb eller Azure Monitor-loggar. Mer information finns i Application Gateway-diagnostik.

Hur gör jag för att hämta granskningsloggar för Application Gateway?

I portalen går du till menyfönstret i en programgateway och väljer Aktivitetslogg för att komma åt granskningsloggen.

Kan jag ställa in aviseringar med Application Gateway?

Ja. I Application Gateway konfigureras aviseringar för mått. Mer information finns i Application Gateway-mått och Ta emot aviseringsaviseringar.

Hur gör jag för att analysera trafikstatistik för Application Gateway?

Du kan visa och analysera åtkomstloggar på flera sätt. Använd Azure Monitor-loggar, Excel, Power BI och så vidare.

Du kan också använda en Resource Manager-mall som installerar och kör den populära GoAccess-logganalysen för Application Gateway-åtkomstloggar. GoAccess tillhandahåller värdefull HTTP-trafikstatistik, till exempel unika besökare, begärda filer, värdar, operativsystem, webbläsare och HTTP-statuskoder. Mer information finns i GitHub i Readme-filen i resource manager-mallmappen.

Vad kan orsaka att serverdelshälsan returnerar en okänd status?

Vanligtvis ser du en okänd status när åtkomsten till serverdelen blockeras av en NSG, anpassad DNS eller användardefinierad routning i Application Gateway-undernätet. Mer information finns i Serverdelshälsa, diagnostikloggning och mått för Application Gateway.

Stöds NSG-flödesloggar på NSG:er som är associerade med Application Gateway v2-undernät?

Om du har en NSG på Application Gateway v2-undernätet (Standard_v2, WAF_v2) på grund av aktuella plattformsbegränsningar och om du har aktiverat NSG-flödesloggar på den ser du ett icke-förutbestämt beteende. Det här scenariot stöds för närvarande inte.

Var lagrar Application Gateway kunddata?

Application Gateway flyttar eller lagrar inte kunddata från den region där den distribueras.

Nästa steg