Nejčastější dotazy k Application Gateway

Poznámka

Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.

Níže jsou uvedené běžné otázky týkající se Azure Application Gateway.

Obecné

Co je Application Gateway?

Azure Application Gateway poskytuje kontroler doručování aplikací (ADC) jako službu. Nabízí různé možnosti vyrovnávání zatížení vrstvy 7 pro vaše aplikace. Tato služba je vysoce dostupná, škálovatelná a plně spravovaná Azure.

Jaké funkce Application Gateway podporují?

Application Gateway podporuje automatické škálování, přesměrování načítání TLS a kompletní protokol TLS, firewall webových aplikací (WAF), spřažení relací na základě souborů cookie, směrování založené na cestě URL, hostování ve více lokalitách a další funkce. Úplný seznam podporovaných funkcí najdete v tématu Úvod do Application Gateway.

Jak se liší Application Gateway a Azure Load Balancer?

Application Gateway je nástroj pro vyrovnávání zatížení vrstvy 7, což znamená, že funguje jenom s webovým provozem (HTTP, HTTPS, WebSocket a HTTP/2). Podporuje funkce, jako je ukončení protokolu TLS, spřažení relací na základě souborů cookie a kruhové dotazování pro přenosy vyrovnávání zatížení. Load Balancer vyrovnávání zatížení provozu ve vrstvě 4 (TCP nebo UDP).

Jaké protokoly Application Gateway podporují?

Application Gateway podporuje protokol HTTP, HTTPS, HTTP/2 a WebSocket.

Jak Application Gateway podporuje PROTOKOL HTTP/2?

Jaké prostředky se podporují jako součást back-endového fondu?

V jakých oblastech je Application Gateway k dispozici?

Application Gateway v1 (Standard a WAF) je k dispozici ve všech oblastech globálního Azure. Je také k dispozici v Azure China 21Vianet a Azure Government.

Dostupnost Application Gateway v2 (Standard_v2 a WAF_v2) najdete v podporovaných oblastech pro Application Gateway v2.

Je toto nasazení vyhrazené pro moje předplatné nebo se sdílí mezi zákazníky?

Application Gateway je vyhrazené nasazení ve vaší virtuální síti.

Podporuje Application Gateway přesměrování HTTP-to-HTTPS?

Přesměrování je podporováno. Viz přehled přesměrování Application Gateway.

V jakém pořadí se naslouchací procesy zpracovávají?

Kde najdu IP adresu Application Gateway a DNS?

Pokud jako koncový bod používáte veřejnou IP adresu, najdete informace o IP adrese a DNS prostředku veřejné IP adresy. Nebo ho najdete na portálu na stránce přehledu pro aplikační bránu. Pokud používáte interní IP adresy, najděte informace na stránce přehledu.

V případě skladové položky v2 otevřete prostředek veřejné IP adresy a vyberte Možnost Konfigurace. Pole Popisek názvu DNS (volitelné) je k dispozici ke konfiguraci názvu DNS.

Jaká jsou nastavení pro vypršení časového limitu Keep-Alive a vypršení časového limitu nečinnosti protokolu TCP?

Časový limit keep-Alive určuje, jak dlouho bude Application Gateway čekat, až klient odešle další požadavek HTTP na trvalé připojení, než ho znovu použije nebo zavře. Časový limit nečinnosti protokolu TCP určuje, jak dlouho je připojení TCP otevřené v případě žádné aktivity.

Časový limit keep-alive v skladové posílce Application Gateway v1 je 120 sekund a v skladové posílce v2 je to 75 sekund. Časový limit nečinnosti PROTOKOLU TCP je ve výchozím nastavení 4minutové virtuální IP adresy front-endu v1 i v2 Application Gateway. Hodnotu časového limitu nečinnosti PROTOKOLU TCP můžete nakonfigurovat na v1 a v2 Application Gateway tak, aby byla kdekoli mezi 4 minutami a 30 minutami. U služby Application Gateway verze 1 i v2 budete muset přejít na veřejnou IP adresu Application Gateway a změnit časový limit nečinnosti protokolu TCP v okně Konfigurace veřejné IP adresy na portálu. Změna hodnoty privátní IP adresy se nepodporuje. Hodnotu časového limitu nečinnosti protokolu TCP veřejné IP adresy můžete nastavit spuštěním následujících příkazů:

$publicIP = Get-AzPublicIpAddress -Name MyPublicIP -ResourceGroupName MyResourceGroup
$publicIP.IdleTimeoutInMinutes = "15"
Set-AzPublicIpAddress -PublicIpAddress $publicIP

Můžu svůj prostředek Application Gateway přejmenovat?

No. Prostředek Application Gateway nejde přejmenovat. Musíte vytvořit nový prostředek s jiným názvem.

Existuje způsob, jak obnovit Application Gateway a její veřejnou IP adresu, pokud byla odstraněna?

No. Po odstranění prostředku Application Gateway ani jeho veřejné IP adresy neexistuje způsob, jak obnovit. Musíte vytvořit nový prostředek.

Mění se ip adresa nebo název DNS po celou dobu životnosti aplikační brány?

V Application Gateway skladové položky V1 se virtuální IP adresa může změnit, pokud zastavíte a spustíte aplikační bránu. Název DNS přidružený ke službě Application Gateway se ale po celou dobu životnosti brány nezmění. Protože se název DNS nezmění, měli byste použít alias CNAME a odkazovat na adresu DNS služby Application Gateway. V Application Gateway skladové položky V2 můžete NASTAVIT IP adresu jako statickou, takže se název IP adresy a DNS po celou dobu životnosti aplikační brány nezmění.

Podporuje Application Gateway statickou IP adresu?

Ano, skladová položka Application Gateway v2 podporuje statické veřejné IP adresy a statické interní IP adresy. Skladová položka v1 podporuje statické interní IP adresy.

Podporuje Application Gateway více veřejných IP adres v bráně?

Aplikační brána podporuje pouze jednu veřejnou IP adresu.

Jak velká má být podsíť pro Application Gateway?

Můžu do jedné podsítě nasadit více než jeden prostředek Application Gateway?

Ano. Kromě několika instancí daného nasazení Application Gateway můžete pro existující podsíť, která obsahuje jiný Application Gateway prostředek, zřídit další jedinečný Application Gateway prostředek.

Jedna podsíť nemůže podporovat skladové položky v2 i v1 Application Gateway.

Podporuje Application Gateway v2 trasy definované uživatelem?

Ano, ale pouze konkrétní scénáře. Další informace najdete v tématu Application Gateway konfigurace infrastruktury.

Podporuje Application Gateway hlavičky s předáváním x?

Jak dlouho trvá nasazení aplikační brány? Bude moje aplikační brána fungovat, když se aktualizuje?

Zřízení nových Application Gateway skladových položek v1 může trvat až 20 minut. Změny velikosti nebo počtu instancí nejsou rušivé a brána zůstane během této doby aktivní.

Zřízení většiny nasazení, která používají skladovou položku v2, trvá přibližně 6 minut. V závislosti na typu nasazení ale může trvat déle. Například nasazení napříč několika Zóny dostupnosti s mnoha instancemi může trvat déle než 6 minut.

Jak služba Application Gateway zpracovává rutinní údržbu?

Aktualizace zahájené do Application Gateway se použijí po jedné aktualizační doméně během mimo pracovní dobu pro oblast, ve které je brána nasazená. Při aktualizaci instancí každé aktualizační domény budou zbývající instance v jiných aktualizačních doménách dál obsluhovat provoz. Aktivní připojení se řádně vyprázdní z aktualizovaných instancí po dobu až 5 minut, aby bylo možné navázat připojení k instancím v jiné aktualizační doméně před zahájením aktualizace. Během aktualizace se Application Gateway dočasně spustí s omezenou maximální kapacitou, která je určena počtem nakonfigurovaných instancí. Proces aktualizace bude pokračovat k další sadě instancí pouze v případě, že byla aktuální sada instancí úspěšně upgradována.

Můžu Exchange Server použít jako back-end s Application Gateway?

Application Gateway nepodporuje e-mailové protokoly, jako je SMTP, IMAP a POP3. Služby HTTP/HTTPS, jako jsou přenosy OWA, ActiveSync a AutoDiscovery, můžou procházet Application Gateway, ale vyloučení WAF se můžou vyžadovat, pokud používáte skladovou položku WAF.

Jsou k dispozici pokyny k migraci ze skladové položky v1 na skladovou položku v2?

Bude skladová položka Application Gateway v1 nadále podporována?

Ano. Skladová položka Application Gateway v1 se bude dál podporovat. Důrazně se ale doporučuje přejít na verzi 2, abyste mohli využívat aktualizace funkcí v této skladové posílce. Další informace o rozdílech mezi funkcemi v1 a v2 najdete v tématu Automatické škálování a zónově redundantní Application Gateway v2. Nasazení skladových položek Application Gateway v1 v1 můžete ručně migrovat do verze 2 podle našeho dokumentu migrace v1-v2.

Podporuje Application Gateway V2 žádosti o proxy server s ověřováním NTLM?

No. Application Gateway V2 nepodporuje požadavky proxy serveru s ověřováním NTLM.

Proč některé hodnoty hlaviček nejsou k dispozici, když se požadavky přeposílají do aplikace?

Názvy hlaviček požadavků můžou obsahovat alfanumerické znaky a pomlčky. Při odeslání požadavku do back-endového cíle se zahodí názvy hlaviček požadavků obsahující další znaky. Názvy hlaviček odpovědí mohou obsahovat libovolné alfanumerické znaky a konkrétní symboly definované v dokumentu RFC 7230 s výjimkou podtržítka (_).

Ano, aktualizace Chromiumbrowserv80 zavedla mandát pro soubory cookie HTTP bez atributu SameSite, který se má považovat za SameSite=Lax. To znamená, že soubor cookie spřažení Application Gateway nebude prohlížeč odesílat v kontextu třetí strany.

Pro podporu tohoto scénáře Application Gateway vloží další soubor cookie s názvem ApplicationGatewayAffinityCORS kromě existujícího souboru cookie ApplicationGatewayAffinity. Tyto soubory cookie jsou podobné, ale soubor cookie ApplicationGatewayAffinityCORS má dva další atributy: SameSite=None; Zabezpečení. Tyto atributy udržují rychlé relace i pro požadavky mezi zdroji. Další informace najdete v části spřažení na základě souborů cookie .

Co se považuje za aktivní naslouchací proces oproti neaktivnímu naslouchacímu procesu?

Aktivní naslouchací proces je naslouchací proces přidružený k pravidlu a odesílání provozu do back-endového fondu. Jakýkoli naslouchací proces, který přesměrovává pouze provoz, není aktivním naslouchacím procesem. Naslouchací procesy přidružené k pravidlům přesměrování se nepovažují za aktivní. Pokud je pravidlo přesměrování pravidlem založeném na cestě, všechny cesty v tomto pravidle přesměrování musí přesměrovat provoz, jinak se naslouchací proces považuje za aktivní. Podrobnosti o limitech jednotlivých komponent najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure .

Výkon

Jak Application Gateway podporuje vysokou dostupnost a škálovatelnost?

Skladová položka Application Gateway v1 podporuje scénáře s vysokou dostupností při nasazení dvou nebo více instancí. Azure tyto instance distribuuje napříč aktualizačními doménami a doménami selhání, aby se zajistilo, že instance nebudou ve stejnou dobu neúspěšné. Skladová položka v1 podporuje škálovatelnost přidáním více instancí stejné brány pro sdílení zatížení.

Skladová položka v2 automaticky zajišťuje, aby se nové instance rozprostřely mezi domény selhání a aktualizační domény. Pokud zvolíte redundanci zóny, nejnovější instance se také rozdělí mezi zóny dostupnosti a nabízejí odolnost proti selhání zón.

Návody dosáhnout scénáře zotavení po havárii napříč datovými centry pomocí Application Gateway?

Pomocí Traffic Manager můžete distribuovat provoz mezi několik aplikačních bran v různých datacentrech.

Podporuje Application Gateway vyprazdňování připojení?

Ano. Vyprázdnění připojení můžete nastavit tak, aby se členové v back-endovém fondu měnili bez přerušení. Další informace najdete v části o vyprázdnění připojení Application Gateway.

Podporuje Application Gateway automatické škálování?

Ano, skladová položka Application Gateway v2 podporuje automatické škálování. Další informace najdete v tématu Automatické škálování a zónově redundantní Application Gateway.

Způsobuje ruční nebo automatické vertikální navýšení nebo snížení kapacity výpadek?

No. Instance se distribuují napříč doménami upgradu a doménami selhání.

Můžu změnit skladovou položku Standard na WAF bez přerušení?

Ano.

Můžu změnit velikost instance ze střední na velkou bez přerušení?

Ano.

Konfigurace

Je Application Gateway vždy nasazená ve virtuální síti?

Ano. Application Gateway se vždy nasazuje v podsíti virtuální sítě. Tato podsíť může obsahovat pouze aplikační brány. Další informace najdete v tématu Požadavky na virtuální síť a podsíť.

Může Application Gateway komunikovat s instancemi mimo svou virtuální síť nebo mimo předplatné?

Pokud máte připojení k IP adrese, Application Gateway může komunikovat s instancemi mimo virtuální síť, ve které je. Application Gateway může také komunikovat s instancemi mimo předplatné, ve které je. Pokud chcete jako členy back-endových fondů používat interní IP adresy, použijte partnerský vztah virtuálních sítí nebo Azure VPN Gateway.

Můžu v podsíti služby Application Gateway nasadit něco jiného?

No. V podsíti ale můžete nasadit další aplikační brány.

Můžu změnit virtuální síť nebo podsíť pro existující Application Gateway?

Můžete přesunout Application Gateway mezi podsítěmi pouze ve stejné virtuální síti. Podporuje se u verze V1 s veřejným a privátním front-endem a verze 2 pouze s veřejným front-endem. Je také důležité si uvědomit, že Application Gateway by měla být v zastaveném stavu, aby se tato akce prováděla. Mějte na paměti, že zastavení nebo spuštění V1 změní veřejnou IP adresu. Tuto operaci je možné provést pouze pomocí Azure PowerShell a Azure CLI spuštěním následujících příkazů:

Azure PowerShell

$VNet = Get-AzVirtualNetwork -Name "<VNetName>" -ResourceGroupName "<ResourceGroup>"
$Subnet = Get-AzVirtualNetworkSubnetConfig -Name "<NewSubnetName>" -VirtualNetwork $VNet
$AppGw = Get-AzApplicationGateway -Name "<ApplicationGatewayName>" -ResourceGroupName "<ResourceGroup>"
Stop-AzApplicationGateway -ApplicationGateway $AppGw
$AppGw = Set-AzApplicationGatewayIPConfiguration -ApplicationGateway $AppGw -Name $AppGw.GatewayIPConfigurations.Name -Subnet $Subnet
#If you have a private frontend IP configuration, uncomment and run the next line:
#$AppGw = Set-AzApplicationGatewayFrontendIPConfig -Name $AppGw.FrontendIPConfigurations.Name[1] -Subnet $Subnet -ApplicationGateway $AppGw
Set-AzApplicationGateway -ApplicationGateway $AppGw

Další informace naleznete v tématu Set-AzApplicationGatewayIPConfiguration.

Azure CLI

az network application-gateway stop -g <ResourceGroup> -n <ApplicationGatewayName>
az network application-gateway update -g <ResourceGroup> -n <ApplicationGatewayName> --set gatewayIpConfigurations[0].subnet.id=<subnetID>

Podporují se skupiny zabezpečení sítě v podsíti služby Application Gateway?

Podporuje podsíť služby Application Gateway trasy definované uživatelem?

Podporují se zásady koncového bodu služby v podsíti Application Gateway?

No. Zásady koncového bodu služby pro účty úložiště nejsou podporovány v podsíti Application Gateway a jeho konfigurace bude blokovat provoz infrastruktury Azure.

Jaká jsou omezení Application Gateway? Můžu tyto limity zvýšit?

Můžu současně používat Application Gateway pro externí i interní provoz?

Ano. Application Gateway podporuje jednu interní IP adresu a jednu externí IP adresu na aplikační bránu.

Podporuje Application Gateway partnerský vztah virtuálních sítí?

Ano. Partnerský vztah virtuálních sítí pomáhá vyrovnávat zatížení provozu v jiných virtuálních sítích.

Můžu komunikovat s místními servery, když jsou připojené tunely ExpressRoute nebo VPN?

Ano, pokud je povolený provoz.

Může jeden back-endový fond obsluhovat mnoho aplikací na různých portech?

Podporuje se architektura mikroslužeb. Pokud chcete testovat na různých portech, musíte nakonfigurovat více nastavení HTTP.

Podporují vlastní sondy u dat odpovědí zástupné cardy nebo regulární výrazy?

No.

Jak se pravidla směrování zpracovávají v Application Gateway?

Co znamená pole Hostitel pro vlastní sondy?

Pole Hostitel určuje název, do které se má sonda odeslat, když jste na Application Gateway nakonfigurovali více lokalit. Jinak použijte 127.0.0.1. Tato hodnota se liší od názvu hostitele virtuálního počítače. Jeho formát je <protocol>://<host>:<portpath>><.

Můžu povolit Application Gateway přístup jenom k několika zdrojovým IP adresám?

Můžu použít stejný port pro veřejné i privátní naslouchací procesy?

No.

Podporuje Application Gateway protokol IPv6?

Application Gateway verze 2 v současné době nepodporuje protokol IPv6. Může fungovat ve virtuální síti se dvěma zásobníky pouze pomocí protokolu IPv4, ale podsíť brány musí být jenom IPv4. Application Gateway verze 1 nepodporuje virtuální sítě se dvěma zásobníky.

Návody používat Application Gateway V2 pouze s privátní ip adresou front-endu?

Application Gateway V2 aktuálně nepodporuje pouze režim privátníCH IP adres. Podporuje následující kombinace.

  • Privátní IP adresa a veřejná IP adresa
  • Pouze veřejná IP adresa

Pokud ale chcete použít Application Gateway V2 pouze s privátní IP adresou, můžete postupovat podle následujícího postupu:

  1. Vytvoření Application Gateway s veřejnou i privátní IP adresou front-endu

  2. Nevytvořte žádné naslouchací procesy pro veřejnou front-endovou IP adresu. Application Gateway nebude naslouchat žádnému provozu na veřejné IP adrese, pokud pro něj nejsou vytvořeny žádné naslouchací procesy.

  3. Vytvořte a připojte skupinu zabezpečení sítě pro podsíť Application Gateway s následující konfigurací v pořadí priority:

    a. Povolte provoz ze značky služby Source as GatewayManager a Destination jako libovolný a cílový port jako 65200-65535. Tento rozsah portů se vyžaduje pro komunikaci s infrastrukturou Azure. Tyto porty jsou chráněné (uzamčené) ověřováním certifikátů. Externí entity, včetně správců uživatelů brány, nemůžou inicializovat změny v těchto koncových bodech bez příslušných certifikátů.

    b. Povolit provoz ze zdroje jako značky služby AzureLoadBalancer a cílového a cílového portu jako libovolný

    c. Odepřít veškerý příchozí provoz ze zdroje jako značky internetové služby a cílového a cílového portu jako Libovolný. Udělte tomuto pravidlu nejnižší prioritu v příchozích pravidlech.

    d. Ponechte výchozí pravidla, jako je povolení příchozích virtuálních sítí, aby přístup k privátní IP adrese nebyl blokovaný.

    e. Odchozí připojení k internetu nejde blokovat. V opačném případě se setkáte s problémy s protokolováním, metrikami atd.

Ukázková konfigurace skupiny zabezpečení sítě pro přístup pouze k privátní IP adrese: Application Gateway V2 NSG Configuration for private IP access only

Jak můžu zastavit a spustit Azure Application Gateway?

K zastavení a spuštění Azure Application Gateway můžete použít Azure PowerShell nebo Azure CLI. Když zastavíte a spustíte Application Gateway, fakturace se také zastaví a spustí.

# Stop an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Stop-AzApplicationGateway -ApplicationGateway $appGateway       
# Start an existing Azure Application Gateway instance

$appGateway = Get-AzApplicationGateway -Name $appGatewayName -ResourceGroupName $resourceGroupName
Start-AzApplicationGateway -ApplicationGateway $appGateway           
# Stop an existing Azure Application Gateway instance

az network application-gateway stop -g MyResourceGroup -n MyAppGateway
# Start an existing Azure Application Gateway instance

az network application-gateway start -g MyResourceGroup -n MyAppGateway

Konfigurace – TLS

Jaké certifikáty Application Gateway podporují?

Application Gateway podporuje certifikáty podepsané svým držitelem, certifikáty certifikační autority (CA), certifikáty rozšířeného ověřování (EV), certifikáty s více doménou (SAN) a zástupné faktory.

Jaké šifrovací sady Application Gateway podporuje?

Application Gateway podporuje následující šifrové sady.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Informace o tom, jak přizpůsobit možnosti protokolu TLS, najdete v tématu Konfigurace verzí zásad PROTOKOLU TLS a šifrovacích sad na Application Gateway.

Podporuje Application Gateway opětovné šifrování provozu do back-endu?

Ano. Application Gateway podporuje přesměrování načítání protokolu TLS a kompletní protokol TLS, který znovu zašifruje provoz do back-endu.

Můžu nakonfigurovat zásadu PROTOKOLU TLS pro řízení verzí protokolu TLS?

Ano. Application Gateway můžete nakonfigurovat tak, aby odepřel protokol TLS1.0, TLS1.1 a TLS1.2. Ve výchozím nastavení jsou protokoly SSL 2.0 a 3.0 už zakázané a nejsou konfigurovatelné.

Můžu nakonfigurovat šifrovací sady a pořadí zásad?

Ano. V Application Gateway můžete nakonfigurovat šifrovací sady. Pokud chcete definovat vlastní zásadu, povolte alespoň jednu z následujících šifrovacích sad.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway používá sha256 k back-endové správě.

Kolik certifikátů TLS/SSL Application Gateway podporuje?

Application Gateway podporuje až 100 certifikátů TLS/SSL.

Má Application Gateway podporu pro připojení OCSP a OCSP?

Ano, Application Gateway podporuje certifikáty s rozšířeními OCSP a sešíváním OCSP pro certifikáty serveru.

Kolik ověřovacích certifikátů pro opětovné šifrování back-endu podporuje Application Gateway?

Application Gateway podporuje až 100 ověřovacích certifikátů.

Integruje se Application Gateway nativně s Azure Key Vault?

Ano, skladová položka Application Gateway v2 podporuje Key Vault. Další informace najdete v tématu Ukončení šifrování TLS s využitím certifikátů služby Key Vault.

Návody nakonfigurovat naslouchací procesy HTTPS pro weby .com a .net?

Pro více směrování založených na doméně (na hostitelích) můžete vytvářet naslouchací procesy na více lokalitách, nastavit naslouchací procesy, které používají protokol HTTPS jako protokol, a přidružit naslouchací procesy k pravidlům směrování. Další informace najdete v tématu Hostování více webů pomocí Application Gateway.

Můžu v hesle souboru .pfx použít speciální znaky?

Ne, používejte v hesle souboru .pfx pouze alfanumerické znaky.

Certifikát EV vydává DigiCert a můj zprostředkující certifikát byl odvolán. Návody prodloužit platnost certifikátu na Application Gateway?

Členové prohlížeče certifikační autority nedávno publikovali sestavy s podrobnostmi o několika certifikátech vydaných dodavateli certifikační autority, které používají naši zákazníci, Microsoft a větší komunitu technologií, která nedodržovala oborové standardy pro veřejně důvěryhodné certifikační autority. Sestavy týkající se nevyhovujících certifikačních autorit najdete tady:

Podle požadavků na dodržování předpisů v oboru začali dodavatelé certifikačních autorit odvolat certifikační autority, které nedodržují předpisy, a vydávat certifikační autority vyhovující předpisům, které vyžadují, aby zákazníci měli svoje certifikáty znovu vystavené. Společnost Microsoft úzce spolupracuje s těmito dodavateli, aby minimalizovala potenciální dopad na služby Azure, ale vaše certifikáty vydané svým držitelem nebo certifikáty používané ve scénářích BYOC (Bring Your Own Certificate) jsou stále ohroženy neočekávaně odvoláváním.

Pokud chcete zkontrolovat, jestli se odvolaly certifikáty používané vaší aplikací, odkazují na oznámení DigiCertu a nástroj Certificate Revoke Tracker. Pokud byly vaše certifikáty odvolány nebo budou odvolány, budete muset požádat o nové certifikáty od dodavatele certifikační autority používaného ve vašich aplikacích. Pokud se chcete vyhnout přerušení dostupnosti vaší aplikace kvůli neočekávaně odvolaným certifikátům nebo aktualizaci certifikátu, který byl odvolán, projděte si naše příspěvky o aktualizacích Azure, kde najdete odkazy na nápravu různých služeb Azure, které podporují BYOC: https://azure.microsoft.com/updates/certificateauthorityrevocation/

Informace Application Gateway konkrétní informace najdete níže :

Pokud používáte certifikát vydaný jedním z odvolaných ICA, může být dostupnost vaší aplikace přerušena a v závislosti na vaší aplikaci se může zobrazit celá řada chybových zpráv, mezi které patří mimo jiné:

  1. Neplatný certifikát nebo odvolaný certifikát
  2. Vypršel časový limit připojení
  3. HTTP 502

Abyste se vyhnuli přerušení vaší aplikace kvůli tomuto problému nebo k opětovnému vydání certifikační autority, která byla odvolána, musíte provést následující akce:

  1. Obraťte se na poskytovatele certifikátů a zjistěte, jak certifikáty znovu vydat.
  2. Po opětovném vytvoření aktualizujte certifikáty na Azure Application Gateway/WAF úplným řetězem důvěryhodnosti (list, zprostředkující, kořenový certifikát). Na základě toho, kde certifikát používáte, buď naslouchací proces, nebo nastavení HTTP Application Gateway, aktualizujte certifikáty podle následujících kroků a zkontrolujte odkazy na dokumentaci uvedené v dalších informacích.
  3. Aktualizujte back-endové aplikační servery tak, aby používaly znovu vystavený certifikát. V závislosti na používaném back-endovém serveru se kroky aktualizace certifikátu můžou lišit. Projděte si dokumentaci od dodavatele.

Aktualizace certifikátu v naslouchacím procesu:

  1. V Azure Portal otevřete prostředek Application Gateway.
  2. Otevřete nastavení naslouchacího procesu, která jsou přidružená k vašemu certifikátu.
  3. Klikněte na Obnovit nebo upravit vybraný certifikát.
  4. Upload nový certifikát PFX s heslem a klikněte na Uložit.
  5. Přejděte na web a ověřte, jestli web funguje podle očekávání. Další informace najdete v dokumentaci.

Pokud v naslouchacím procesu Application Gateway odkazujete na certifikáty z Azure KeyVault, doporučujeme pro rychlou změnu provést následující kroky –

  1. V Azure Portal přejděte do nastavení Azure KeyVault, která byla přidružená k Application Gateway
  2. Přidejte nebo naimportujte znovu použitelný certifikát ve vašem úložišti. Další informace o postupu najdete v dokumentaci.
  3. Po importu certifikátu přejděte do nastavení Application Gateway naslouchacího procesu a v části Zvolit certifikát z Key Vault klikněte na rozevírací seznam Certifikát a zvolte nedávno přidaný certifikát.
  4. Další informace o ukončení protokolu TLS u Application Gateway s Key Vault certifikáty najdete v dokumentaci.

Aktualizace certifikátu v Nastavení HTTP:

Pokud používáte skladovou položku V1 služby Application Gateway/WAF, musíte nový certifikát nahrát jako ověřovací certifikát back-endu.

  1. V Azure Portal otevřete prostředek Application Gateway.
  2. Otevřete nastavení HTTP, která jsou přidružená k vašemu certifikátu.
  3. Klikněte na Přidat certifikát a nahrajte znovu uložený certifikát a klikněte na uložit.
  4. Starý certifikát můžete později odebrat kliknutím na "..." vedle starého certifikátu vyberte odstranit a klikněte na uložit. Další informace najdete v dokumentaci.

Pokud používáte skladovou položku V2 služby Application Gateway/WAF, nemusíte nahrávat nový certifikát do nastavení HTTP, protože skladová položka V2 používá "důvěryhodné kořenové certifikáty" a zde není nutné provádět žádnou akci.

Konfigurace – kontroler příchozího přenosu dat pro AKS

Co je kontroler příchozího přenosu dat?

Kubernetes umožňuje vytvoření deployment a service prostředek zpřístupnit skupinu podů interně v clusteru. Pokud chcete zveřejnit stejnou službu externě, definuje se Ingress prostředek, který poskytuje vyrovnávání zatížení, ukončení protokolu TLS a virtuální hostování založené na názvu. Pro splnění tohoto Ingress prostředku se vyžaduje kontroler příchozího přenosu dat, který naslouchá všem změnám Ingress prostředků a konfiguruje zásady nástroje pro vyrovnávání zatížení.

Kontroler Application Gateway příchozího přenosu dat (AGIC) umožňuje Azure Application Gateway použít jako příchozí přenos dat pro Azure Kubernetes Service označovaný také jako cluster AKS.

Může jedna instance kontroleru příchozího přenosu dat spravovat více bran Application Gateway?

V současné době může být jedna instance kontroleru příchozího přenosu dat přidružena pouze k jednomu Application Gateway.

Proč můj cluster AKS s kubenetem nefunguje s AGIC?

AGIC se pokusí automaticky přidružit prostředek směrovací tabulky k podsíti Application Gateway, ale nemusí to udělat kvůli nedostatku oprávnění z AGIC. Pokud AGIC nemůže přidružit směrovací tabulku ke Application Gateway podsíti, dojde k chybě v protokolech AGIC. V takovém případě budete muset ručně přidružit směrovací tabulku vytvořenou clusterem AKS k podsíti Application Gateway. Další informace najdete v tématu Podporované trasy definované uživatelem.

Můžu připojit cluster AKS a Application Gateway v samostatných virtuálních sítích?

Ano, pokud jsou virtuální sítě v partnerském vztahu a nemají překrývající se adresní prostory. Pokud používáte AKS s kubenetem, nezapomeňte přidružit směrovací tabulku vygenerovanou AKS k podsíti Application Gateway.

Jaké funkce doplňku AGIC nepodporují?

Tady se podívejte na rozdíly mezi AGIC nasazeným přes Helm a nasazeným jako doplněk AKS.

Kdy mám doplněk používat v porovnání s nasazením Helm?

Tady se podívejte na rozdíly mezi AGIC nasazeným prostřednictvím Helmu a nasazeným jako doplněk AKS , zejména tabulky dokumentující scénáře, které AGIC podporuje prostřednictvím Helmu na rozdíl od doplňku AKS. Obecně platí, že nasazení prostřednictvím Helmu vám umožní otestovat beta funkce a kandidáty na vydání verze před oficiální verzí.

Můžu určit, kterou verzi AGIC se nasadí pomocí doplňku?

Ne, doplněk AGIC je spravovaná služba, což znamená, že Microsoft doplněk automaticky aktualizuje na nejnovější stabilní verzi.

Konfigurace – vzájemné ověřování

Co je vzájemné ověřování?

Vzájemné ověřování je obousměrné ověřování mezi klientem a serverem. Vzájemné ověřování s Application Gateway aktuálně umožňuje bráně ověřit klienta, který odesílá požadavek, což je ověřování klienta. Klient je obvykle jediný, který ověřuje Application Gateway. Vzhledem k tomu, že Application Gateway teď může také ověřit klienta, stává se vzájemné ověřování, kde se Application Gateway a klient vzájemně ověřuje.

Je vzájemné ověřování dostupné mezi Application Gateway a jeho back-endovými fondy?

Ne, vzájemné ověřování je aktuálně pouze mezi front-endovým klientem a Application Gateway. Back-endové vzájemné ověřování se v současné době nepodporuje.

Diagnostika a protokolování

Jaké typy protokolů Application Gateway poskytují?

Application Gateway poskytuje tři protokoly:

  • ApplicationGatewayAccessLog: Přístupový protokol obsahuje každý požadavek odeslaný front-end služby Application Gateway. Data zahrnují IP adresu volajícího, požadovanou adresu URL, latenci odpovědi, návratový kód a bajty. Obsahuje jeden záznam na aplikační bránu.
  • ApplicationGatewayPerformanceLog: Protokol výkonu zaznamenává informace o výkonu pro každou aplikační bránu. Informace zahrnují propustnost v bajtech, celkový počet požadavků, počet neúspěšných požadavků a počet instancí back-endu v pořádku a v pořádku.
  • ApplicationGatewayFirewallLog: Pro aplikační brány, které konfigurujete s WAF, protokol brány firewall obsahuje požadavky, které se protokolují prostřednictvím režimu detekce nebo režimu prevence.

Všechny protokoly se shromažďují každých 60 sekund. Další informace najdete v tématu Stav back-endu, diagnostické protokoly a metriky pro Application Gateway.

Návody vědět, jestli jsou členové back-endu v pořádku?

Ověřte stav pomocí rutiny Get-AzApplicationGatewayBackendHealth PowerShellu nebo portálu. Další informace najdete v tématu Application Gateway diagnostika.

Jaké jsou zásady uchovávání informací pro diagnostické protokoly?

Diagnostické protokoly tok do účtu úložiště zákazníka. Zákazníci můžou zásady uchovávání informací nastavit na základě svých preferencí. Diagnostické protokoly je možné odesílat také do centra událostí nebo do protokolů služby Azure Monitor. Další informace najdete v tématu Application Gateway diagnostika.

Návody získat protokoly auditu pro Application Gateway?

V okně nabídky služby Application Gateway na portálu vyberte Protokol aktivit pro přístup k protokolu auditu.

Můžu nastavit upozornění pomocí Application Gateway?

Ano. V Application Gateway jsou upozornění nakonfigurovaná na metriky. Další informace najdete v tématu Application Gateway metriky a příjem upozornění.

Návody analyzovat statistiky provozu pro Application Gateway?

Protokoly přístupu můžete zobrazit a analyzovat několika způsoby. Používejte protokoly služby Azure Monitor, Excel, Power BI atd.

Můžete také použít šablonu Resource Manager, která nainstaluje a spustí oblíbený analyzátor protokolů GoAccess pro Application Gateway přístupové protokoly. GoAccess poskytuje cenné statistiky provozu HTTP, jako jsou jedineční návštěvníci, požadované soubory, hostitelé, operační systémy, prohlížeče a stavové kódy HTTP. Další informace najdete v GitHub v souboru Readme ve složce šablony Resource Manager.

Co může způsobit, že stav back-endu vrátí neznámý stav?

Obvykle se zobrazí neznámý stav, když je přístup k back-endu blokovaný skupinou zabezpečení sítě (NSG), vlastním DNS nebo uživatelem definovaným směrováním (UDR) v podsíti služby Application Gateway. Další informace najdete v tématu Stav back-endu, protokolování diagnostiky a metriky pro Application Gateway.

Podporují se protokoly toku NSG u skupin zabezpečení sítě přidružených k podsíti Application Gateway v2?

Pokud máte skupinu zabezpečení sítě v podsíti Application Gateway verze 2 (Standard_v2, WAF_v2) a pokud jste povolili protokoly toku NSG, uvidíte nedeterministické chování a tento scénář se v současné době nepodporuje.

Kde Application Gateway ukládá zákaznická data?

Application Gateway nepřesouvají ani neukládají zákaznická data z oblasti, ve které je nasazená.

Další kroky

Další informace o Application Gateway najdete v tématu Co je Azure Application Gateway?.