Co je Azure Application Gateway?What is Azure Application Gateway?

Azure Application Gateway je nástroj pro vyrovnávání zatížení webových přenosů, který vám umožní spravovat provoz do webových aplikací.Azure Application Gateway is a web traffic load balancer that enables you to manage traffic to your web applications. Nástroje pro vyrovnávání zatížení obvykle fungují na přenosové vrstvě (vrstva OSI 4 – TCP a UDP) a směrují provoz na základě zdrojové IP adresy a portu do cílové IP adresy a portu.Traditional load balancers operate at the transport layer (OSI layer 4 - TCP and UDP) and route traffic based on source IP address and port, to a destination IP address and port.

Application Gateway koncepční

V Application Gateway můžete provádět rozhodování o směrování na základě dalších atributů požadavku HTTP, jako je například cesta URI nebo hlavičky hostitele.With Application Gateway, you can make routing decisions based on additional attributes of an HTTP request, such as URI path or host headers. Můžete například směrovat provoz na základě příchozí adresy URL.For example, you can route traffic based on the incoming URL. Pokud tedy příchozí adresa URL obsahuje /images, můžete směrovat provoz na konkrétní sadu serverů (označovanou jako fond), která je nakonfigurovaná pro obrázky.So if /images is in the incoming URL, you can route traffic to a specific set of servers (known as a pool) configured for images. Pokud je /video v adrese URL, provoz se směruje do jiného fondu optimalizovaného pro videa.If /video is in the URL, that traffic is routed to another pool that's optimized for videos.

imageURLroute

Tento typ směrování se označuje jako vyrovnávání zatížení aplikační vrstvy (vrstva OSI 7).This type of routing is known as application layer (OSI layer 7) load balancing. Azure Application Gateway umí směrování na základě adresy URL, ale to není vše.Azure Application Gateway can do URL-based routing and more.

Poznámka

Azure pro vaše scénáře poskytuje sadu plně spravovaných řešení pro vyrovnávání zatížení.Azure provides a suite of fully managed load-balancing solutions for your scenarios. Pokud potřebujete vysoce výkonné, nízké latence, Vyrovnávání zatížení vrstvy 4, přečtěte si téma co je Azure Load Balancer?If you need high-performance, low-latency, Layer-4 load balancing, see What is Azure Load Balancer? Pokud hledáte globální vyrovnávání zatížení DNS, přečtěte si téma co je Traffic Manager?If you're looking for global DNS load balancing, see What is Traffic Manager? Vaše ucelené scénáře můžou využít kombinaci těchto řešení.Your end-to-end scenarios may benefit from combining these solutions.

Porovnání možností vyrovnávání zatížení Azure najdete v tématu Přehled možností vyrovnávání zatížení v Azure.For an Azure load-balancing options comparison, see Overview of load-balancing options in Azure.

Součástí Azure Application Gateway jsou následující funkce:The following features are included with Azure Application Gateway:

Ukončení SSL (Secure Sockets Layer) (SSL/TLS)Secure Sockets Layer (SSL/TLS) termination

Application Gateway podporuje ukončení protokolu SSL/TLS v bráně, po kterém provoz obvykle přechází do back-end serverů.Application gateway supports SSL/TLS termination at the gateway, after which traffic typically flows unencrypted to the backend servers. Tato funkce webovým serverům umožňuje snížení nákladné režie spojené s šifrováním a dešifrováním.This feature allows web servers to be unburdened from costly encryption and decryption overhead. Někdy ale nešifrovaná komunikace na serverech není přijatelnou možností.But sometimes unencrypted communication to the servers is not an acceptable option. Důvodem může být to, že požadavky na zabezpečení, požadavky na dodržování předpisů nebo aplikace můžou přijímat jenom zabezpečené připojení.This can be because of security requirements, compliance requirements, or the application may only accept a secure connection. Pro tyto aplikace Aplikační brána podporuje koncové šifrování protokolu SSL/TLS.For these applications, application gateway supports end to end SSL/TLS encryption.

Automatické škálováníAutoscaling

Application Gateway nebo WAF nasazení v rámci Standard_v2 nebo WAF_v2 SKU podporuje automatické škálování a může se škálovat nahoru nebo dolů na základě změny schémat zatížení provozu.Application Gateway or WAF deployments under Standard_v2 or WAF_v2 SKU support autoscaling and can scale up or down based on changing traffic load patterns. Automatické škálování také eliminuje nutnost zvolit během zřizování velikost nasazení nebo počet instancí.Autoscaling also removes the requirement to choose a deployment size or instance count during provisioning. Další informace o funkcích Application Gateway Standard_v2 a WAF_v2 najdete v tématu Automatické škálování v2 SKU.For more information about the Application Gateway Standard_v2 and WAF_v2 features, see Autoscaling v2 SKU.

Redundance zónyZone redundancy

Nasazení Application Gateway nebo WAF v rámci Standard_v2 nebo WAF_v2 SKU může zahrnovat několik Zóny dostupnosti, což nabízí lepší odolnost proti chybám a odstraňuje nutnost zřídit samostatné aplikační brány v každé zóně.An Application Gateway or WAF deployments under Standard_v2 or WAF_v2 SKU can span multiple Availability Zones, offering better fault resiliency and removing the need to provision separate Application Gateways in each zone.

Statická virtuální IP adresaStatic VIP

Virtuální IP adresa služby Application Gateway v Standard_v2 WAF_v2 nebo SKU podporuje výhradně statický typ VIP.The application gateway VIP on Standard_v2 or WAF_v2 SKU supports static VIP type exclusively. Tím se zajistí, že se virtuální IP adresa přidružená k aplikační bráně nemění ani po dobu života Application Gateway.This ensures that the VIP associated with application gateway doesn't change even over the lifetime of the Application Gateway.

Firewall webových aplikacíWeb application firewall

Firewall webových aplikací (WAF) je služba, která poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení.Web application firewall (WAF) is a service that provides centralized protection of your web applications from common exploits and vulnerabilities. WAF je založená na pravidlech z OWASP (Open Web Application Security Project) základních sad pravidel 3,1 (jenom WAF_v2), 3,0 a 2.2.9.WAF is based on rules from the OWASP (Open Web Application Security Project) core rule sets 3.1 (WAF_v2 only), 3.0, and 2.2.9.

Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Mezi tyto běžné typy zneužití patří mimo jiné například útoky prostřednictvím injektáže SQL nebo skriptování mezi weby.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Předcházet takovým útokům v kódu aplikace může být náročné a může vyžadovat pečlivou údržbu, opravy a monitorování mnoha vrstev topologie aplikace.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at many layers of the application topology. Centralizovaný firewall webových aplikací značně zjednodušuje správu zabezpečení a nabízí správcům lepší ochranu aplikací před hrozbami neoprávněného vniknutí.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Řešení Firewall webových aplikací (WAF) může také rychleji reagovat na ohrožení zabezpečení, protože opravuje známé chyby zabezpečení v centrálním umístění, namísto zabezpečování jednotlivých webových aplikací.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. Stávající aplikační brány je možné jednoduše převést na aplikační brány doplněné webovým aplikačním firewallem.Existing application gateways can be converted to a web application firewall enabled application gateway easily.

Další informace najdete v tématu co je firewall webových aplikací Azure?.For more information, see What is Azure Web Application Firewall?.

Kontroler Ingress pro AKSIngress Controller for AKS

AGIC () umožňuje používat Application Gateway jako příchozí přenosy pro cluster Azure Kubernetes Service (AKS) . Application GatewayApplication Gateway Ingress Controller (AGIC) allows you to use Application Gateway as the ingress for an Azure Kubernetes Service (AKS) cluster.

Kontroler příchozího provozu funguje jako pod clusterem AKS a využívá Kubernetes prostředky příchozího přenosu dat a převede je na konfiguraci Application Gateway, která umožňuje bráně vyrovnávat zatížení v Kubernetes luskech.The ingress controller runs as a pod within the AKS cluster and consumes Kubernetes Ingress Resources and converts them to an Application Gateway configuration which allows the gateway to load-balance traffic to the Kubernetes pods. Kontroler příchozího přenosu dat podporuje pouze SKU Application Gateway v2.The ingress controller only supports Application Gateway V2 SKU.

Další informace najdete v tématu Application Gateway řadič příchozího přenosu dat (AGIC).For more information, see Application Gateway Ingress Controller (AGIC).

Směrování na základě adresy URLURL-based routing

Směrování na základě cesty URL umožňuje směrovat provoz do fondů back-end serveru na základě cest URL požadavku.URL Path Based Routing allows you to route traffic to back-end server pools based on URL Paths of the request. Jedním ze scénářů je směrování žádostí na různé typy obsahu do různých fondů.One of the scenarios is to route requests for different content types to different pool.

Například žádosti na adresu http://contoso.com/video/* se směrují na VideoServerPool a žádosti na adresu http://contoso.com/images/* na ImageServerPool.For example, requests for http://contoso.com/video/* are routed to VideoServerPool, and http://contoso.com/images/* are routed to ImageServerPool. Pokud nevyhovuje žádný vzor cesty, vybere se VychoziFondServeru.DefaultServerPool is selected if none of the path patterns match.

Další informace najdete v tématu směrování na základě adresy URL s Application Gateway.For more information, see URL-based routing with Application Gateway.

Hostování několika webůMultiple-site hosting

Hostování několika webů umožňuje konfigurovat více než jeden web ve stejné instanci aplikační brány.Multiple-site hosting enables you to configure more than one web site on the same application gateway instance. Tato funkce umožňuje nakonfigurovat efektivnější topologii nasazení přidáním až 100 webů do jednoho Application Gateway nebo 40 pro WAF (pro zajištění optimálního výkonu).This feature allows you to configure a more efficient topology for your deployments by adding up to 100 web sites to one Application Gateway, or 40 for WAF (for optimal performance). Každý web se dá přesměrovat na vlastní fond.Each web site can be directed to its own pool. Aplikační brána může například obsluhovat provoz pro contoso.com a fabrikam.com ze dvou fondů serverů s názvem ContosoServerPool a FabrikamServerPool.For example, application gateway can serve traffic for contoso.com and fabrikam.com from two server pools called ContosoServerPool and FabrikamServerPool.

Žádosti na adresu http://contoso.com se směrují na ContosoServerPool a žádosti na adresu http://fabrikam.com na FabrikamServerPool.Requests for http://contoso.com are routed to ContosoServerPool, and http://fabrikam.com are routed to FabrikamServerPool.

Podobně je možné ve stejném nasazení aplikační brány hostovat dvě poddomény stejné nadřazené domény.Similarly, two subdomains of the same parent domain can be hosted on the same application gateway deployment. Příklady použití subdomén můžou zahrnovat adresy http://blog.contoso.com a http://app.contoso.com hostované v jednom nasazení aplikační brány.Examples of using subdomains could include http://blog.contoso.com and http://app.contoso.com hosted on a single application gateway deployment.

Další informace najdete v tématu hostování více lokalit pomocí Application Gateway.For more information, see multiple-site hosting with Application Gateway.

PřesměrováníRedirection

Běžným scénářem pro mnoho webových aplikací je podpora automatického přesměrování HTTP na HTTPS, aby se zajistilo, že veškerá komunikace mezi aplikací a jejími uživateli probíhá přes šifrovanou cestu.A common scenario for many web applications is to support automatic HTTP to HTTPS redirection to ensure all communication between an application and its users occurs over an encrypted path.

V minulosti jste mohli používat techniky, jako je například vytvoření vyhrazeného fondu, jehož jediným účelem je přesměrování požadavků, které přijímá v HTTP na HTTPS.In the past, you may have used techniques such as dedicated pool creation whose sole purpose is to redirect requests it receives on HTTP to HTTPS. Aplikační brána podporuje možnost přesměrovat provoz na Application Gateway.Application gateway supports the ability to redirect traffic on the Application Gateway. To zjednodušuje konfiguraci aplikací, optimalizuje využití prostředků a podporuje nové scénáře přesměrování, včetně globálního přesměrování a přesměrování na základě cesty.This simplifies application configuration, optimizes the resource usage, and supports new redirection scenarios, including global and path-based redirection. Podpora přesměrování Application Gateway není omezená jenom na přesměrování HTTP na HTTPS.Application Gateway redirection support isn't limited to HTTP to HTTPS redirection alone. Jde o obecný mechanismus přesměrování, takže můžete provoz přesměrovat z kteréhokoliv portu a na kterýkoliv port, který definujete pomocí pravidel.This is a generic redirection mechanism, so you can redirect from and to any port you define using rules. Také podporuje přesměrování na externí web.It also supports redirection to an external site as well.

Podpora přesměrování Application Gateway nabízí následující možnosti:Application Gateway redirection support offers the following capabilities:

  • Globální přesměrování z jednoho portu na jiný port ve službě Application Gateway.Global redirection from one port to another port on the Gateway. To umožňuje přesměrování z HTTP na HTTPS na webu.This enables HTTP to HTTPS redirection on a site.
  • Přesměrování na základě cesty.Path-based redirection. Tento typ přesměrování umožňuje přesměrování z HTTP na HTTPS jenom v konkrétní oblasti webu, například v oblasti nákupního košíku označené jako /cart/*.This type of redirection enables HTTP to HTTPS redirection only on a specific site area, for example a shopping cart area denoted by /cart/*.
  • Přesměrování na externí web.Redirect to an external site.

Další informace najdete v tématu přesměrování provozu pomocí Application Gateway.For more information, see redirecting traffic with Application Gateway.

Spřažení relacíSession affinity

Funkce spřažení relací na základě souborů cookie je užitečná v případě, že chcete zachovat uživatelskou relaci na stejném serveru.The cookie-based session affinity feature is useful when you want to keep a user session on the same server. Pomocí souborů cookie spravovaných bránou umí služba Application Gateway směrovat následný provoz z uživatelské relace ke zpracování na stejný server.By using gateway-managed cookies, the Application Gateway can direct subsequent traffic from a user session to the same server for processing. To je důležité v případech, kdy se stav jednotlivých uživatelských relací ukládá místně na serveru.This is important in cases where session state is saved locally on the server for a user session.

Provoz přes protokoly Websocket a HTTP/2Websocket and HTTP/2 traffic

Application Gateway poskytuje nativní podporu pro protokoly WebSocket a HTTP/2.Application Gateway provides native support for the WebSocket and HTTP/2 protocols. Neexistuje žádné uživatelsky konfigurovatelné nastavení pro selektivní povolení nebo zakázání podpory protokolu WebSocket.There's no user-configurable setting to selectively enable or disable WebSocket support.

Protokoly WebSocket a HTTP/2 umožňují plně duplexní komunikaci mezi serverem a klientem přes dlouhotrvající připojení TCP.The WebSocket and HTTP/2 protocols enable full duplex communication between a server and a client over a long running TCP connection. To umožňuje interaktivnější komunikaci mezi webovým serverem a klientem, která může být obousměrná, aniž by bylo nutné dotazování, jak se to vyžaduje v implementacích založených na protokolu HTTP.This allows for a more interactive communication between the web server and the client, which can be bidirectional without the need for polling as required in HTTP-based implementations. Tyto protokoly mají nízkou režii, na rozdíl od HTTP, a umožňují opakované použití stejného připojení TCP pro více požadavků nebo odpovědí, což má za následek efektivnější využití prostředků.These protocols have low overhead, unlike HTTP, and can reuse the same TCP connection for multiple request/responses resulting in a more efficient resource utilization . Tyto protokoly jsou navrženy pro práci přes tradiční porty HTTP 80 a 443.These protocols are designed to work over traditional HTTP ports of 80 and 443.

Další informace najdete v tématu Podpora WebSocket a Podpora protokolu HTTP/2.For more information, see WebSocket support and HTTP/2 support.

Vyprázdnění připojeníConnection draining

Vyprázdnění připojení vám pomůže provést řádné odebrání členů back-endového fondu při plánovaných servisních aktualizacích.Connection draining helps you achieve graceful removal of backend pool members during planned service updates. Toto nastavení je povoleno prostřednictvím nastavení HTTP back-endu a lze je použít při vytváření pravidla u všech členů back-endového fondu.This setting is enabled via the backend http setting and can be applied to all members of a backend pool during rule creation. Po povolení Application Gateway zajistí, že všechny odregistrované instance back-endu fondu neobdrží žádné nové žádosti, zatímco se stávající požadavky dokončí v nakonfigurovaném časovém limitu.Once enabled, Application Gateway ensures all deregistering instances of a backend pool do not receive any new request while allowing existing requests to complete within a configured time limit. To platí pro instance back-end, které se explicitně odebraly z fondu back-endu pomocí změny konfigurace uživatele, a back-endové instance, které jsou nahlášené jako chybné v závislosti na sondách stavu.This applies to both backend instances that are explicitly removed from the backend pool by a user configuration change, and backend instances that are reported as unhealthy as determined by the health probes. Jedinou výjimkou jsou požadavky vázané na zrušení registrace instancí, které byly odregistrovány explicitně, protože spřažení relace spravované bránou a bude pokračovat v připojení k instancím zrušení registrace.The only exception to this are requests bound for deregistering instances, which have been deregistered explicitly, because of gateway-managed session affinity and will continued to be proxied to the deregistering instances.

Další informace naleznete v části vyprazdňování připojení v tématu Přehled konfigurace Application Gateway.For more information, see the Connection Draining section of Application Gateway Configuration Overview.

Stránky vlastních chybCustom error pages

Služba Application Gateway vám umožní vytvořit vlastní chybové stránky místo zobrazení výchozích chybových stránek.Application Gateway allows you to create custom error pages instead of displaying default error pages. U vlastní chybové stránky můžete použít vlastní značky a rozložení.You can use your own branding and layout using a custom error page.

Další informace najdete v tématu vlastní chyby.For more information, see Custom Errors.

Přepsání hlaviček HTTPRewrite HTTP headers

Hlavičky protokolu HTTP umožňují klientovi a serveru předat další informace s požadavkem nebo odpovědí.HTTP headers allow the client and server to pass additional information with the request or the response. Přepsání těchto hlaviček HTTP vám pomůže dosáhnout několika důležitých scénářů, například:Rewriting these HTTP headers helps you accomplish several important scenarios, such as:

  • Přidání polí záhlaví souvisejících se zabezpečením, jako je HSTS/X-XSS-Protection.Adding security-related header fields like HSTS/ X-XSS-Protection.
  • Odebrání polí hlavičky odpovědi, která mohou odhalit citlivé informace.Removing response header fields that can reveal sensitive information.
  • Odstranění informací o portech z předávaných hlaviček od X-po.Stripping port information from X-Forwarded-For headers.

Application Gateway podporuje možnost přidávat, odebírat nebo aktualizovat požadavky HTTP a hlavičky odpovědí, zatímco pakety požadavků a odpovědí přecházejí mezi klienty klienta a back-endové fondy.Application Gateway supports the capability to add, remove, or update HTTP request and response headers, while the request and response packets move between the client and back-end pools. Poskytuje taky možnost přidat podmínky, abyste zajistili, že zadaná záhlaví se přepíší jenom v případě, že jsou splněné určité podmínky.It also provides you with the capability to add conditions to ensure the specified headers are rewritten only when certain conditions are met.

Další informace najdete v tématu přepis hlaviček protokolu HTTP.For more information, see Rewrite HTTP headers.

VelikostiSizing

Application Gateway Standard_v2 a WAF_v2 SKU je možné nakonfigurovat pro nasazení s automatickým škálováním nebo pevnou velikostí.Application Gateway Standard_v2 and WAF_v2 SKU can be configured for autoscaling or fixed size deployments. Tyto SKU nenabízejí různé velikosti instancí.These SKUs don't offer different instance sizes. Další informace o výkonu a cenách v2 najdete v tématu Automatické škálování v2 SKU.For more information on v2 performance and pricing, see Autoscaling v2 SKU.

Application Gateway Standard a SKU WAF se momentálně nabízí ve třech velikostech: malá, střednía Velká.The Application Gateway Standard and WAF SKU is currently offered in three sizes: Small, Medium, and Large. Instance krátkodobého používání jsou určené pro scénáře vývoje a testování.Small instance sizes are intended for development and testing scenarios.

Úplný seznam omezení služby Application Gateway najdete na stránce Omezení služby Application Gateway.For a complete list of application gateway limits, see Application Gateway service limits.

Následující tabulka ukazuje průměrnou propustnost výkonu pro jednotlivé instance služby Application Gateway V1 s povoleným snižováním zatížení SSL:The following table shows an average performance throughput for each application gateway v1 instance with SSL offload enabled:

Průměrná velikost odpovědi back-endu stránkyAverage back-end page response size MaléSmall StředníMedium VelkéLarge
6 KB6 KB 7,5 Mb/s7.5 Mbps 13 Mb/s13 Mbps 50 Mb/s50 Mbps
100 KB100 KB 35 Mb/s35 Mbps 100 Mb/s100 Mbps 200 Mb/s200 Mbps

Poznámka

Tyto hodnoty jsou přibližné hodnoty propustnosti služby Application Gateway.These values are approximate values for an application gateway throughput. Skutečná propustnost závisí na různých podrobnostech o prostředí, jako jsou například průměrná velikost stránky, umístění back-endových instancí a doba zpracování potřebná k doručení stránky.The actual throughput depends on various environment details, such as average page size, location of back-end instances, and processing time to serve a page. Přesné údaje o výkonu získáte, když spustíte vlastní testy.For exact performance numbers, you should run your own tests. Tyto hodnoty slouží jenom jako vodítko při plánování kapacity.These values are only provided for capacity planning guidance.

Další krokyNext steps

V závislosti na vašich požadavcích a prostředí můžete vytvořit testovací Application Gateway pomocí portálu Azure Portal, Azure PowerShellu nebo rozhraní Azure CLI:Depending on your requirements and environment, you can create a test Application Gateway using either the Azure portal, Azure PowerShell, or Azure CLI: