Nejčastější dotazy týkající se brány aplikaceFrequently asked questions about Application Gateway

Poznámka

Tento článek je aktualizovaný a využívá nový modul Az Azure PowerShellu.This article has been updated to use the new Azure PowerShell Az module. Můžete dál využívat modul AzureRM, který bude dostávat opravy chyb nejméně do prosince 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Další informace o kompatibilitě nového modulu Az a modulu AzureRM najdete v tématu Seznámení s novým modulem Az Azure PowerShellu.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pokyny k instalaci modulu Az najdete v tématu věnovaném instalaci Azure PowerShellu.For Az module installation instructions, see Install Azure PowerShell.

Níže jsou uvedeny běžné otázky týkající se Azure Application Gateway.The following are common questions asked about Azure Application Gateway.

ObecnéGeneral

Co je Application Gateway?What is Application Gateway?

Azure Application Gateway poskytuje řadič pro doručování aplikací (ADC) jako službu.Azure Application Gateway provides an application delivery controller (ADC) as a service. Nabízí různé možnosti vyrovnávání zatížení vrstvy 7 pro vaše aplikace.It offers various layer 7 load-balancing capabilities for your applications. Tato služba je vysoce dostupná, škálovatelná a plně spravovaná Azure.This service is highly available, scalable, and fully managed by Azure.

Jaké funkce aplikace gateway podporuje?What features does Application Gateway support?

Aplikační brána podporuje automatické škálování, snižování zátěže SSL a end-to-end SSL, bránu firewall webové aplikace (WAF), spřažení relací založenou na souborech cookie, směrování na základě cesty URL, hostování ve více sítích a další funkce.Application Gateway supports autoscaling, SSL offloading, and end-to-end SSL, a web application firewall (WAF), cookie-based session affinity, URL path-based routing, multisite hosting, and other features. Úplný seznam podporovaných funkcí naleznete v tématu Úvod do aplikační brány.For a full list of supported features, see Introduction to Application Gateway.

Jak se liší aplikační brána a Azure Load Balancer?How do Application Gateway and Azure Load Balancer differ?

Aplikační brána je nástroj pro vyrovnávání zatížení vrstvy 7, což znamená, že funguje pouze s webovým provozem (HTTP, HTTPS, WebSocket a HTTP/2).Application Gateway is a layer 7 load balancer, which means it works only with web traffic (HTTP, HTTPS, WebSocket, and HTTP/2). Podporuje funkce, jako je například ukončení SSL, spřažení relací na základě souborů cookie a kruhové dotazování pro přenos vyrovnávání zatížení.It supports capabilities such as SSL termination, cookie-based session affinity, and round robin for load-balancing traffic. Balancer zatížení vyrovnává provoz na úrovni 4 (TCP nebo UDP).Load Balancer load-balances traffic at layer 4 (TCP or UDP).

Jaké protokoly aplikace gateway podporuje?What protocols does Application Gateway support?

Aplikační brána podporuje http, https, http/2 a websocket.Application Gateway supports HTTP, HTTPS, HTTP/2, and WebSocket.

Jak aplikační brána podporuje protokol HTTP/2?How does Application Gateway support HTTP/2?

Viz podpora HTTP/2.See HTTP/2 support.

Jaké prostředky jsou podporovány jako součást back-endového fondu?What resources are supported as part of a backend pool?

Viz podporované back-endové prostředky.See supported backend resources.

V jakých oblastech je aplikační brána k dispozici?In what regions is Application Gateway available?

Aplikační brána je dostupná ve všech oblastech globálního Azure.Application Gateway is available in all regions of global Azure. Je taky dostupná v Azure China 21Vianet a Azure Government.It's also available in Azure China 21Vianet and Azure Government.

Je toto nasazení vyhrazené pro mé předplatné, nebo je sdíleno mezi zákazníky?Is this deployment dedicated for my subscription, or is it shared across customers?

Aplikační brána je vyhrazené nasazení ve vaší virtuální síti.Application Gateway is a dedicated deployment in your virtual network.

Podporuje aplikační brána přesměrování HTTP-HTTPS?Does Application Gateway support HTTP-to-HTTPS redirection?

Přesměrování je podporováno.Redirection is supported. Viz Přehled přesměrování brány aplikace.See Application Gateway redirect overview.

V jakém pořadí jsou posluchači zpracovány?In what order are listeners processed?

Viz pořadí zpracování posluchače.See the order of listener processing.

Kde najdu IP a DNS aplikační brány?Where do I find the Application Gateway IP and DNS?

Pokud jako koncový bod používáte veřejnou IP adresu, najdete informace o IP a DNS v prostředku veřejné IP adresy.If you're using a public IP address as an endpoint, you'll find the IP and DNS information on the public IP address resource. Nebo ji najděte na portálu na stránce s přehledem pro aplikační bránu.Or find it in the portal, on the overview page for the application gateway. Pokud používáte interní IP adresy, najděte informace na stránce s přehledem.If you're using internal IP addresses, find the information on the overview page.

Pro skladovou položku v2 otevřete veřejný prostředek IP a vyberte možnost Konfigurace.For the v2 SKU, open the public IP resource and select Configuration. Pole Popisek názvu DNS (volitelné) je k dispozici pro konfiguraci názvu DNS.The DNS name label (optional) field is available to configure the DNS name.

Jaké jsou nastavení pro keep-alive časový limit a TCP časový limit nečinnosti?What are the settings for Keep-Alive timeout and TCP idle timeout?

Časový limit keep-alive určuje, jak dlouho bude aplikační brána čekat, až klient odešle další požadavek HTTP na trvalé připojení, než jej znovu použije nebo zavře.Keep-Alive timeout governs how long the Application Gateway will wait for a client to send another HTTP request on a persistent connection before reusing it or closing it. Časový limit nečinnosti protokolu TCP určuje, jak dlouho je připojení TCP v případě žádné aktivity otevřeno.TCP idle timeout governs how long a TCP connection is kept open in case of no activity.

Časový limit Keep-Alive v aplikační bráně v1 SKU je 120 sekund a ve sku v2 je to 75 sekund.The Keep-Alive timeout in the Application Gateway v1 SKU is 120 seconds and in the v2 SKU it's 75 seconds. Časový limit nečinnosti protokolu TCP je výchozí 4 minutna front-endové virtuální IP adresy (VIP) v1 a v2 skladové položky aplikační brány.The TCP idle timeout is a 4-minute default on the frontend virtual IP (VIP) of both v1 and v2 SKU of Application Gateway.

Mění se název IP nebo DNS po dobu životnosti aplikační brány?Does the IP or DNS name change over the lifetime of the application gateway?

V sku aplikace V1 virtuální ip může změnit, pokud zastavíte a spustíte bránu aplikace.In Application Gateway V1 SKU, the VIP can change if you stop and start the application gateway. Ale název DNS přidružený k bráně aplikace se během životnosti brány nezmění.But the DNS name associated with the application gateway doesn't change over the lifetime of the gateway. Vzhledem k tomu, že se název DNS nemění, měli byste použít alias CNAME a nasměrovat ho na adresu DNS aplikační brány.Because the DNS name doesn't change, you should use a CNAME alias and point it to the DNS address of the application gateway. Ve skladové jednotce SKU aplikace V2 můžete nastavit adresu IP jako statickou, takže název IP a DNS se během doby životnosti aplikační brány nezmění.In Application Gateway V2 SKU, you can set the IP address as static, so IP and DNS name will not change over the lifetime of the application gateway.

Podporuje aplikační brána statickou IP adresu?Does Application Gateway support static IP?

Ano, aplikační brána v2 skladová položka podporuje statické veřejné IP adresy.Yes, the Application Gateway v2 SKU supports static public IP addresses. Skladová položka v1 podporuje statické interní IP adresy.The v1 SKU supports static internal IPs.

Podporuje aplikační brána v bráně více veřejných IP služeb?Does Application Gateway support multiple public IPs on the gateway?

Aplikační brána podporuje pouze jednu veřejnou IP adresu.An application gateway supports only one public IP address.

Jak velký mám vytvořit svou podsíť pro aplikační bránu?How large should I make my subnet for Application Gateway?

Viz Aspekty velikosti podsítě Aplikační brána.See Application Gateway subnet size considerations.

Můžu do jedné podsítě nasadit více prostředků aplikační brány?Can I deploy more than one Application Gateway resource to a single subnet?

Ano.Yes. Kromě více instancí daného nasazení aplikační brány můžete zřídit jiný jedinečný prostředek aplikační brány do existující podsítě, která obsahuje jiný prostředek aplikační brány.In addition to multiple instances of a given Application Gateway deployment, you can provision another unique Application Gateway resource to an existing subnet that contains a different Application Gateway resource.

Jedna podsíť nemůže podporovat Standard_v2 i standardní aplikační bránu společně.A single subnet can't support both Standard_v2 and Standard Application Gateway together.

Podporuje aplikační brána v2 uživatelem definované trasy (UDR)?Does Application Gateway v2 support user-defined routes (UDR)?

Ano, ale pouze konkrétní scénáře.Yes, but only specific scenarios. Další informace naleznete v tématu Přehled konfigurace aplikační brány.For more information, see Application Gateway configuration overview.

Podporuje aplikační brána záhlaví x-forwarded-for?Does Application Gateway support x-forwarded-for headers?

Ano.Yes. Viz Změny požadavku.See Modifications to a request.

Jak dlouho trvá nasazení aplikační brány?How long does it take to deploy an application gateway? Bude moje aplikační brána fungovat, když se aktualizuje?Will my application gateway work while it's being updated?

Nové nasazení sku aplikace v1 může trvat až 20 minut.New Application Gateway v1 SKU deployments can take up to 20 minutes to provision. Změny velikosti nebo počtu instancí nejsou rušivé a brána zůstane aktivní během této doby.Changes to instance size or count aren't disruptive, and the gateway remains active during this time.

Většina nasazení, které používají v2 Skladové položky trvat přibližně 6 minut na zřízení.Most deployments that use the v2 SKU take around 6 minutes to provision. V závislosti na typu nasazení však může trvat déle.However it can take longer depending on the type of deployment. Například nasazení ve více zónách dostupnosti s mnoha instancemi může trvat déle než 6 minut.For example, deployments across multiple Availability Zones with many instances can take more than 6 minutes.

Můžu použít Exchange Server jako back-end s aplikační bránou?Can I use Exchange Server as a backend with Application Gateway?

Ne.No. Aplikační brána nepodporuje e-mailové protokoly, jako je SMTP, IMAP a POP3.Application Gateway doesn't support email protocols such as SMTP, IMAP, and POP3.

Je k dispozici pokyny pro migraci z skladové položky v1 do sku v2?Is there guidance available to migrate from the v1 SKU to the v2 SKU?

Ano.Yes. Podrobnosti najdete v tématu Migrace brány aplikací Azure a brány firewall webových aplikací z v1 na 2.For details see, Migrate Azure Application Gateway and Web Application Firewall from v1 to v2.

Bude aplikační brána v1 skladová položka nadále podporována?Will the Application Gateway v1 SKU continue to be supported?

Ano.Yes. Skladová položka brány aplikace v1 bude nadále podporována.The Application Gateway v1 SKU will continue to be supported. Důrazně se však doporučuje přejít na v2, abyste využili výhod aktualizací funkcí v této skladové jednotce.However, it is strongly recommended that you move to v2 to take advantage of the feature updates in that SKU. Další informace naleznete v tématu Automatické škálování a zónově redundantní aplikační brána v2.For more information, see Autoscaling and Zone-redundant Application Gateway v2.

VýkonPerformance

Jak aplikační brána podporuje vysokou dostupnost a škálovatelnost?How does Application Gateway support high availability and scalability?

SKU aplikační brány v1 podporuje scénáře vysoké dostupnosti, když jste nasadili dvě nebo více instancí.The Application Gateway v1 SKU supports high-availability scenarios when you've deployed two or more instances. Azure distribuuje tyto instance mezi aktualizační a zlomové domény, aby zajistil, že instance nevšechny selžou ve stejnou dobu.Azure distributes these instances across update and fault domains to ensure that instances don't all fail at the same time. Skladová položka v1 podporuje škálovatelnost přidáním více instancí stejné brány pro sdílení zatížení.The v1 SKU supports scalability by adding multiple instances of the same gateway to share the load.

Skladová položka v2 automaticky zajišťuje, že nové instance jsou rozloženy mezi doménami selhání a aktualizačními doménami.The v2 SKU automatically ensures that new instances are spread across fault domains and update domains. Pokud zvolíte redundanci zóny, nejnovější instance jsou také rozloženy mezi zóny dostupnosti a nabízejí odolnost proti selhání zón.If you choose zone redundancy, the newest instances are also spread across availability zones to offer zonal failure resiliency.

Jak lze dosáhnout scénáře zotavení po havárii napříč datovými centry pomocí aplikační brány?How do I achieve a DR scenario across datacenters by using Application Gateway?

Traffic Manager slouží k distribuci provozu mezi více aplikačních bran v různých datových centrech.Use Traffic Manager to distribute traffic across multiple application gateways in different datacenters.

Podporuje aplikační brána automatické škálování?Does Application Gateway support autoscaling?

Ano, aplikační brána v2 skladová položka podporuje automatické škálování.Yes, the Application Gateway v2 SKU supports autoscaling. Další informace naleznete v tématu Automatické škálování a zónově redundantní aplikační brána.For more information, see Autoscaling and Zone-redundant Application Gateway.

Způsobuje ruční nebo automatické škálování na výši nahoru nebo zmenšení prostoje?Does manual or automatic scale up or scale down cause downtime?

Ne.No. Instance jsou distribuovány mezi upgradovacími doménami a doménami selhání.Instances are distributed across upgrade domains and fault domains.

Podporuje aplikační brána vyprázdnění připojení?Does Application Gateway support connection draining?

Ano.Yes. Můžete nastavit vyprázdnění připojení změnit členy v rámci back-endového fondu bez přerušení.You can set up connection draining to change members within a backend pool without disruption. Další informace naleznete v části vypouštění připojení v application gateway.For more information, see connection draining section of Application Gateway.

Je možné změnit velikost instance ze střední na velkou bez přerušení?Can I change instance size from medium to large without disruption?

Ano.Yes.

KonfiguraceConfiguration

Je aplikační brána vždy nasazená ve virtuální síti?Is Application Gateway always deployed in a virtual network?

Ano.Yes. Aplikační brána se vždy nasadí v podsíti virtuální sítě.Application Gateway is always deployed in a virtual network subnet. Tato podsíť může obsahovat pouze aplikační brány.This subnet can contain only application gateways. Další informace naleznete v tématu požadavky na virtuální síť a podsíť.For more information, see virtual network and subnet requirements.

Může aplikační brána komunikovat s instancemi mimo svou virtuální síť nebo mimo její předplatné?Can Application Gateway communicate with instances outside of its virtual network or outside of its subscription?

Dokud máte připojení IP, aplikační brána může komunikovat s instancemi mimo virtuální síť, ve které se nachází.As long as you have IP connectivity, Application Gateway can communicate with instances outside of the virtual network that it's in. Aplikační brána může také komunikovat s instancemi mimo předplatné, ve které se nachází.Application Gateway can also communicate with instances outside of the subscription it's in. Pokud plánujete používat interní IP adresy jako členy back-endového fondu, použijte partnerský vztah virtuální sítě nebo bránu Azure VPN Gateway.If you plan to use internal IPs as backend pool members, use virtual network peering or Azure VPN Gateway.

Můžu v podsíti aplikační brány nasadit něco jiného?Can I deploy anything else in the application gateway subnet?

Ne.No. Ale můžete nasadit další aplikační brány v podsíti.But you can deploy other application gateways in the subnet.

Jsou v podsíti aplikační brány podporovány skupiny zabezpečení sítě?Are network security groups supported on the application gateway subnet?

Viz Skupiny zabezpečení sítě v podsíti Aplikační brána.See Network security groups in the Application Gateway subnet.

Podporuje podsíť aplikační brány uživatelem definované trasy?Does the application gateway subnet support user-defined routes?

Viz Uživatelem definované trasy podporované v podsíti Aplikační brána.See User-defined routes supported in the Application Gateway subnet.

Jaké jsou limity pro aplikační bránu?What are the limits on Application Gateway? Mohu tyto limity zvýšit?Can I increase these limits?

Viz Omezení aplikační brány.See Application Gateway limits.

Mohu současně používat aplikační bránu pro externí i interní provoz?Can I simultaneously use Application Gateway for both external and internal traffic?

Ano.Yes. Aplikační brána podporuje jednu interní IP adresu a jednu externí IP adresu na aplikační bránu.Application Gateway supports one internal IP and one external IP per application gateway.

Podporuje aplikační brána partnerský vztah virtuální sítě?Does Application Gateway support virtual network peering?

Ano.Yes. Partnerský vztah virtuální sítě pomáhá vyvažovat zatížení v jiných virtuálních sítích.Virtual network peering helps load-balance traffic in other virtual networks.

Mohu mluvit s místními servery, když jsou připojeny tunely ExpressRoute nebo VPN?Can I talk to on-premises servers when they're connected by ExpressRoute or VPN tunnels?

Ano, pokud je povolen provoz.Yes, as long as traffic is allowed.

Může jeden back-endový fond obsluhovat mnoho aplikací na různých portech?Can one backend pool serve many applications on different ports?

Architektura mikroslužeb je podporována.Microservice architecture is supported. Chcete-li sondovat na různých portech, je třeba nakonfigurovat více nastavení protokolu HTTP.To probe on different ports, you need to configure multiple HTTP settings.

Podporují vlastní sondy zástupné znaky nebo regulární výraz u dat odpovědí?Do custom probes support wildcards or regex on response data?

Ne.No.

Jak se zpracovávají pravidla směrování v bráně aplikace?How are routing rules processed in Application Gateway?

Viz Pořadí pravidel zpracování.See Order of processing rules.

Co znamená pole Host pro vlastní sondy?For custom probes, what does the Host field signify?

Pole Host určuje název, na který má být sonda odeslána, když jste nakonfigurovali více pracovištosti v aplikační bráně.The Host field specifies the name to send the probe to when you've configured multisite on Application Gateway. V opačném případě použijte "127.0.0.1".Otherwise use '127.0.0.1'. Tato hodnota se liší od názvu hostitele virtuálního počítače.This value is different from the virtual machine host name. Jeho formát <>je<>protokol<><:>hostitel : cesta k portu .Its format is <protocol>://<host>:<port><path>.

Mohu povolit přístup aplikační brány pouze k několika zdrojovým ADRESÁm IP?Can I allow Application Gateway access to only a few source IP addresses?

Ano.Yes. Viz omezení přístupu k určitým zdrojovým IP adresy.See restrict access to specific source IPs.

Mohu použít stejný port pro veřejné i soukromé posluchače?Can I use the same port for both public-facing and private-facing listeners?

Ne.No.

Podporuje aplikační brána iPv6?Does Application Gateway support IPv6?

Aplikační brána v2 aktuálně nepodporuje IPv6.Application Gateway v2 does not currently support IPv6. Může pracovat ve virtuální síti s dvěma zásobníky pouze pomocí IPv4, ale podsíť brány musí být jenom s IPv4.It can operate in a dual stack VNet using only IPv4, but the gateway subnet must be IPv4-only. Aplikační brána v1 nepodporuje virtuální sítě s duálním zásobníkem.Application Gateway v1 does not support dual stack VNets.

Konfigurace - SSLConfiguration - SSL

Jaké certifikáty aplikace gateway podporuje?What certificates does Application Gateway support?

Aplikační brána podporuje certifikáty podepsané svým držitelem, certifikáty certifikační autority ,, certifikáty rozšířeného ověření (EV) a certifikáty se zástupnými kódy.Application Gateway supports self-signed certificates, certificate authority (CA) certificates, Extended Validation (EV) certificates, and wildcard certificates.

Jaké šifrovací sady podporuje aplikační bránu?What cipher suites does Application Gateway support?

Aplikační brána podporuje následující šifrovací sady.Application Gateway supports the following cipher suites.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHATLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHATLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Informace o přizpůsobení možností protokolu SSL naleznete v tématu Konfigurace verzí zásad SSL a šifrovacích sad v aplikaci Application Gateway.For information on how to customize SSL options, see Configure SSL policy versions and cipher suites on Application Gateway.

Podporuje aplikační brána opětovné šifrování provozu do back-endu?Does Application Gateway support reencryption of traffic to the backend?

Ano.Yes. Aplikační brána podporuje snižování zátěže SSL a end-to-end SSL, které znovu šifrují provoz do back-endu.Application Gateway supports SSL offload and end-to-end SSL, which reencrypt traffic to the backend.

Lze nakonfigurovat zásady SSL pro řízení verzí protokolu SSL?Can I configure SSL policy to control SSL protocol versions?

Ano.Yes. Můžete nakonfigurovat aplikaci Gateway odepřít TLS1.0, TLS1.1 a TLS1.2.You can configure Application Gateway to deny TLS1.0, TLS1.1, and TLS1.2. Ve výchozím nastavení jsou ssl 2.0 a 3.0 již zakázány a nelze je konfigurovat.By default, SSL 2.0 and 3.0 are already disabled and aren't configurable.

Mohu nakonfigurovat šifrovací sady a pořadí zásad?Can I configure cipher suites and policy order?

Ano.Yes. V application gateway můžete konfigurovat šifrovací sady.In Application Gateway, you can configure cipher suites. Chcete-li definovat vlastní zásady, povolte alespoň jednu z následujících šifrovacích sad.To define a custom policy, enable at least one of the following cipher suites.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256

Aplikační brána používá SHA256 pro správu back-endu.Application Gateway uses SHA256 to for backend management.

Kolik certifikátů SSL aplikace podporuje?How many SSL certificates does Application Gateway support?

Aplikační brána podporuje až 100 SSL certifikátů.Application Gateway supports up to 100 SSL certificates.

Kolik ověřovacích certifikátů pro šifrování back-endu podporuje aplikační brána?How many authentication certificates for backend reencryption does Application Gateway support?

Aplikační brána podporuje až 100 ověřovacích certifikátů.Application Gateway supports up to 100 authentication certificates.

Integruje se aplikační brána nativně s Azure Key Vault?Does Application Gateway natively integrate with Azure Key Vault?

Ano, aplikační brána v2 sku podporuje trezor klíčů.Yes, the Application Gateway v2 SKU supports Key Vault. Další informace naleznete v tématu SSL ukončení s certifikáty trezoru klíčů.For more information, see SSL termination with Key Vault certificates.

Jak nakonfiguruji naslouchací procesy HTTPS pro weby .com a .net?How do I configure HTTPS listeners for .com and .net sites?

Pro více směrování založených na doméně (založené na hostiteli) můžete vytvořit naslouchací procesy s více pracemi, nastavit naslouchací procesy, které používají protokol HTTPS jako protokol, a přidružit posluchače k pravidlům směrování.For multiple domain-based (host-based) routing, you can create multisite listeners, set up listeners that use HTTPS as the protocol, and associate the listeners with the routing rules. Další informace naleznete v tématu Hostování více webů pomocí aplikace gateway.For more information, see Hosting multiple sites by using Application Gateway.

Mohu v hesle souboru .pfx použít speciální znaky?Can I use special characters in my .pfx file password?

Ne, v hesle souboru .pfx používejte pouze alfanumerické znaky.No, use only alphanumeric characters in your .pfx file password.

Konfigurace - firewall webových aplikací (WAF)Configuration - web application firewall (WAF)

Nabízí skladová položka WAF všechny funkce dostupné ve standardní skladové jednotce?Does the WAF SKU offer all the features available in the Standard SKU?

Ano.Yes. WAF podporuje všechny funkce standardní sku.WAF supports all the features in the Standard SKU.

Jak mohu sledovat WAF?How do I monitor WAF?

Monitorujte WAF pomocí diagnostického protokolování.Monitor WAF through diagnostic logging. Další informace naleznete v tématu Diagnostické protokolování a metriky pro aplikační bránu.For more information, see Diagnostic logging and metrics for Application Gateway.

Blokuje režim zjišťování provoz?Does detection mode block traffic?

Ne.No. Režim zjišťování zaznamenává pouze přenosy, které aktivují pravidlo WAF.Detection mode only logs traffic that triggers a WAF rule.

Mohu přizpůsobit pravidla WAF?Can I customize WAF rules?

Ano.Yes. Další informace naleznete v tématu Customize WAF rule groups and rules.For more information, see Customize WAF rule groups and rules.

Jaká pravidla jsou v současné době k dispozici pro WAF?What rules are currently available for WAF?

WAF v současné době podporuje CRS 2.2.9, 3.0a 3.1.WAF currently supports CRS 2.2.9, 3.0, and 3.1. Tato pravidla poskytují základní zabezpečení proti většině 10 nejvyšších chyb zabezpečení, které identifikuje Open Web Application Security Project (OWASP):These rules provide baseline security against most of the top-10 vulnerabilities that Open Web Application Security Project (OWASP) identifies:

  • Ochrana před útoky prostřednictvím injektáže SQL.SQL injection protection
  • Ochrana skriptování mezi webyCross-site scripting protection
  • Ochrana proti běžným webovým útokům, jako je injektáž příkazů, pašování požadavků HTTP, rozdělení odpovědi HTTP a útok vzdáleného zahrnutí souborůProtection against common web attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
  • Ochrana před narušením protokolu HTTP.Protection against HTTP protocol violations
  • Ochrana před anomáliemi protokolu HTTP, jako například chybějící údaj user-agent hostitele nebo hlavičky Accept.Protection against HTTP protocol anomalies such as missing host user-agent and accept headers
  • Ochrana před roboty, prohledávacími moduly a skenery.Prevention against bots, crawlers, and scanners
  • Detekce běžných konfigurací aplikace (tj. Apache, IIS a tak dále)Detection of common application misconfigurations (that is, Apache, IIS, and so on)

Další informace naleznete v tématu OWASP top-10 chyb zabezpečení.For more information, see OWASP top-10 vulnerabilities.

Podporuje WAF ochranu DDoS?Does WAF support DDoS protection?

Ano.Yes. Můžete povolit ochranu DDoS ve virtuální síti, kde se nasadí aplikační brána.You can enable DDoS protection on the virtual network where the application gateway is deployed. Toto nastavení zajišťuje, že služba Azure DDoS Protection také chrání virtuální IP (VIP) brány aplikace.This setting ensures that the Azure DDoS Protection service also protects the application gateway virtual IP (VIP).

Konfigurace - řadič příchozího přenosu dat pro AKSConfiguration - ingress controller for AKS

Co je řadič příchozího přenosu dat?What is an Ingress Controller?

Kubernetes umožňuje deployment vytváření service a prostředek vystavit skupinu podů interně v clusteru.Kubernetes allows creation of deployment and service resource to expose a group of pods internally in the cluster. Chcete-li vystavit stejnou službu Ingress externě, je definován prostředek, který poskytuje vyrovnávání zatížení, ukončení SSL a virtuální hosting založený na názvu.To expose the same service externally, an Ingress resource is defined which provides load balancing, SSL termination and name-based virtual hosting. K uspokojení Ingress tohoto prostředku je vyžadován řadič příchozího přenosu Ingress dat, který naslouchá všem změnám prostředků a konfiguruje zásady vyrovnávání zatížení.To satisfy this Ingress resource, an Ingress Controller is required which listens for any changes to Ingress resources and configures the load balancer policies.

Řadič příchozího přenosu dat aplikační brány umožňuje Azure Application Gateway, který se používá jako příchozí přenos dat pro službu Azure Kubernetes, která se také označuje jako cluster AKS.The Application Gateway Ingress Controller allows Azure Application Gateway to be used as the ingress for an Azure Kubernetes Service also known as an AKS cluster.

Může jedna instanci řadiče příchozího přenosu dat spravovat více aplikačních bran?Can a single ingress controller instance manage multiple Application Gateways?

V současné době jedna instance ingress řadič lze přidružit pouze k jedné bráně aplikace.Currently, one instance of Ingress Controller can only be associated to one Application Gateway.

Diagnostika a protokolováníDiagnostics and logging

Jaké typy protokolů poskytuje aplikační brána?What types of logs does Application Gateway provide?

Aplikační brána poskytuje tři protokoly:Application Gateway provides three logs:

  • ApplicationGatewayAccessLog: Protokol přístupu obsahuje každý požadavek odeslaný do front-endu aplikační brány.ApplicationGatewayAccessLog: The access log contains each request submitted to the application gateway frontend. Data zahrnují IP adresu volajícího, požadovanou adresu URL, latenci odezvy, návratový kód a bajty dovnitř a ven. Obsahuje jeden záznam na aplikační bránu.The data includes the caller's IP, URL requested, response latency, return code, and bytes in and out. It contains one record per application gateway.
  • ApplicationGatewayPerformanceLog: Protokol výkonu zachycuje informace o výkonu pro každou aplikační bránu.ApplicationGatewayPerformanceLog: The performance log captures performance information for each application gateway. Informace zahrnují propustnost v bajtů, celkový počet doručených požadavků, počet neúspěšných požadavků a počet back-endových instancí v pořádku a není v pořádku.Information includes the throughput in bytes, total requests served, failed request count, and healthy and unhealthy backend instance count.
  • ApplicationGatewayFirewallLog: Pro aplikační brány, které nakonfigurujete pomocí WAF, obsahuje protokol brány firewall požadavky, které jsou protokolovány buď prostřednictvím režimu zjišťování, nebo režimu prevence.ApplicationGatewayFirewallLog: For application gateways that you configure with WAF, the firewall log contains requests that are logged through either detection mode or prevention mode.

Všechny protokoly jsou shromažďovány každých 60 sekund.All logs are collected every 60 seconds. Další informace naleznete v tématu Back-endstavu, protokoly diagnostiky a metriky pro aplikační bránu.For more information, see Backend health, diagnostics logs, and metrics for Application Gateway.

Jak poznám, že jsou členové back-endu v pořádku?How do I know if my backend pool members are healthy?

Ověřte stav pomocí rutiny Get-AzApplicationGatewayBackendHealth prostředí PowerShell nebo portálu.Verify health by using the PowerShell cmdlet Get-AzApplicationGatewayBackendHealth or the portal. Další informace naleznete v tématu Diagnostika aplikační brány.For more information, see Application Gateway diagnostics.

Jaké jsou zásady uchovávání informací pro diagnostické protokoly?What's the retention policy for the diagnostic logs?

Diagnostické protokoly toku do účtu úložiště zákazníka.Diagnostic logs flow to the customer's storage account. Zákazníci mohou nastavit zásady uchovávání informací na základě jejich předvoleb.Customers can set the retention policy based on their preference. Diagnostické protokoly lze také odeslat do centra událostí nebo protokoly Azure Monitor.Diagnostic logs can also be sent to an event hub or Azure Monitor logs. Další informace naleznete v tématu Diagnostika aplikační brány.For more information, see Application Gateway diagnostics.

Jak získám protokoly auditu pro aplikační bránu?How do I get audit logs for Application Gateway?

Na portálu vyberte v okně nabídky aplikační brány protokol aktivit, abyste měli přístup k protokolu auditu.In the portal, on the menu blade of an application gateway, select Activity Log to access the audit log.

Můžu nastavit upozornění pomocí brány aplikace?Can I set alerts with Application Gateway?

Ano.Yes. V application gateway jsou výstrahy konfigurovány na metriky.In Application Gateway, alerts are configured on metrics. Další informace najdete v tématu metriky aplikační brány a přijímat upozornění.For more information, see Application Gateway metrics and Receive alert notifications.

Jak lze analyzovat statistiky provozu pro aplikační bránu?How do I analyze traffic statistics for Application Gateway?

Protokoly přístupu můžete zobrazit a analyzovat několika způsoby.You can view and analyze access logs in several ways. Používejte protokoly Azure Monitoru, Excel, Power BI a tak dále.Use Azure Monitor logs, Excel, Power BI, and so on.

Můžete také použít šablonu Správce prostředků, která nainstaluje a spustí populární analyzátor protokolů GoAccess pro protokoly přístupu k aplikační bráně.You can also use a Resource Manager template that installs and runs the popular GoAccess log analyzer for Application Gateway access logs. GoAccess poskytuje cenné statistiky provozu HTTP, jako jsou jedinečné návštěvníky, požadované soubory, hostitelé, operační systémy, prohlížeče a stavové kódy HTTP.GoAccess provides valuable HTTP traffic statistics such as unique visitors, requested files, hosts, operating systems, browsers, and HTTP status codes. Další informace naleznete v GitHubu v souboru Readme ve složce šablony Správce prostředků.For more information, in GitHub, see the Readme file in the Resource Manager template folder.

Co by mohlo způsobit, že stav back-endu vrátí neznámý stav?What could cause backend health to return an unknown status?

Obvykle se zobrazí neznámý stav, když je přístup k back-endu blokován skupinou zabezpečení sítě (NSG), vlastním serverem DNS nebo uživatelem definovaným směrováním (UDR) v podsíti aplikační brány.Usually, you see an unknown status when access to the backend is blocked by a network security group (NSG), custom DNS, or user-defined routing (UDR) on the application gateway subnet. Další informace naleznete v tématu Back-endstavu, protokolování diagnostiky a metriky pro aplikační bránu.For more information, see Backend health, diagnostics logging, and metrics for Application Gateway.

Existuje nějaký případ, kdy protokoly toku nsg nezobrazí povolený provoz?Is there any case where NSG flow logs won't show allowed traffic?

Ano.Yes. Pokud se konfigurace shoduje v následujícím scénáři, neuvidíte povolený provoz v protokolech toku nsg:If your configuration matches following scenario, you won't see allowed traffic in your NSG flow logs:

  • Nasadili jste aplikační bránu v2You've deployed Application Gateway v2
  • V podsíti aplikační brány máte skupinu síťových sítí.You have an NSG on the application gateway subnet
  • Povolili jste protokoly toku nsg na tomto souboru nsgYou've enabled NSG flow logs on that NSG

Jak se používá aplikační brána V2 pouze s privátní ip adresou?How do I use Application Gateway V2 with only private frontend IP address?

Aplikační brána V2 v současné době nepodporuje pouze soukromý režim IP.Application Gateway V2 currently doesn't support only private IP mode. Podporuje následující kombinaceIt supports the following combinations

  • Privátní IP adresa a veřejná IP adresaPrivate IP and Public IP
  • Pouze veřejná IP adresaPublic IP only

Ale pokud chcete používat Aplikační bránu V2 pouze s privátní IP, můžete postupovat podle níže uvedeného procesu:But if you'd like to use Application Gateway V2 with only private IP, you can follow the process below:

  1. Vytvoření aplikační brány s veřejnou i privátní ip adresou front-enduCreate an Application Gateway with both public and private frontend IP address

  2. Nevytvářejte žádné naslouchací procesy pro veřejnou front-endovou IP adresu.Don't create any listeners for the public frontend IP address. Aplikační brána nebude poslouchat žádný provoz na veřejné IP adrese, pokud pro ni nejsou vytvořeny žádné naslouchací procesy.Application Gateway will not listen to any traffic on the public IP address if no listeners are created for it.

  3. Vytvořte a připojte skupinu zabezpečení sítě pro podsíť Aplikační brána s následující konfigurací v pořadí podle priority:Create and attach a Network Security Group for the Application Gateway subnet with the following configuration in the order of priority:

    a.a. Povolit provoz ze zdroje jako značku služby GatewayManager a cíl jako libovolný a cílový port jako 65200-65535.Allow traffic from Source as GatewayManager service tag and Destination as Any and Destination port as 65200-65535. Tento rozsah portů je vyžadován pro komunikaci infrastruktury Azure.This port range is required for Azure infrastructure communication. Tyto porty jsou chráněny (uzamčeny) ověřováním certifikátů.These ports are protected (locked down) by certificate authentication. Externí entity, včetně správců uživatelů brány, nemohou iniciovat změny v těchto koncových bodech bez příslušných certifikátů.External entities, including the Gateway user administrators, can't initiate changes on those endpoints without appropriate certificates in place

    b.b. Povolit provoz ze zdroje jako značku služby AzureLoadBalancer a cílový port jako libovolnýAllow traffic from Source as AzureLoadBalancer service tag and destination port as Any

    c.c. Odepřít veškerý příchozí provoz ze zdroje jako značku služby Internet a cílový port jako libovolný.Deny all inbound traffic from Source as Internet service tag and destination port as Any. Přiřazuji tomuto pravidlu nejnižší prioritu v příchozích pravidlech.Give this rule the least priority in the inbound rules

    d.d. Zachovat výchozí pravidla, jako je povolení příchozí virtuální sítě tak, aby nebyl blokován přístup k privátní IP adreseKeep the default rules like allowing VirtualNetwork inbound so that the access on private IP address isn't blocked

    e.e. Odchozí připojení k internetu nelze blokovat.Outbound internet connectivity can't be blocked. V opačném případě budete čelit problémům s protokolováním, metrikami a tak dále.Otherwise, you will face issues with logging, metrics, and so on.

Ukázková konfigurace skupiny zabezpečení sítě pro přístup pouze k privátní IP adrese: Konfigurace nsg aplikační brány V2 pouze pro soukromý přístup k IP adresámSample NSG configuration for private IP only access: Application Gateway V2 NSG Configuration for private IP access only

Ano, aktualizace prohlížeče Chromium v80 zavedla mandát pro http cookies bez atributu SameSite, který má být považován za SameSite =Lax.Yes, the Chromium browser v80 update introduced a mandate on HTTP cookies without SameSite attribute to be treated as SameSite=Lax. To znamená, že soubor cookie spřažení aplikační brány nebude odeslán prohlížečem v kontextu třetí strany.This means that the Application Gateway affinity cookie won't be sent by the browser in a third-party context. Pro podporu tohoto scénáře, Application Gateway vloží další soubor cookie s názvem ApplicationGatewayAffinityCORS kromě existující soubor cookie ApplicationGatewayAffinity.To support this scenario, Application Gateway injects another cookie called ApplicationGatewayAffinityCORS in addition to the existing ApplicationGatewayAffinity cookie. Tyto soubory cookie jsou podobné, ale soubor cookie ApplicationGatewayAffinityCORS má další dva atributy: SameSite=None; Zabezpečte.These cookies are similar, but the ApplicationGatewayAffinityCORS cookie has two more attributes added to it: SameSite=None; Secure. Tyto atributy udržovat rychlé relace i pro požadavky napříč původem.These attributes maintain sticky sessions even for cross-origin requests. Další informace naleznete v části spřažení založené na souborech cookie.See the cookie based affinity section for more information.

Další krokyNext steps

Další informace o aplikační bráně najdete v tématu Co je Azure Application Gateway?.To learn more about Application Gateway, see What is Azure Application Gateway?.