Häufig gestellte Fragen zu Application GatewayFrequently asked questions about Application Gateway

Hinweis

Dieser Artikel wurde aktualisiert und beinhaltet jetzt das neue Az-Modul von Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Sie können das AzureRM-Modul weiterhin verwenden, das bis mindestens Dezember 2020 weiterhin Fehlerbehebungen erhält.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Weitere Informationen zum neuen Az-Modul und zur Kompatibilität mit AzureRM finden Sie unter Introducing the new Azure PowerShell Az module (Einführung in das neue Az-Modul von Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Anweisungen zur Installation des Az-Moduls finden Sie unter Install Azure PowerShell (Installieren von Azure PowerShell).For Az module installation instructions, see Install Azure PowerShell.

Im Folgenden finden Sie häufig gestellte Fragen zu Azure Application Gateway.The following are common questions asked about Azure Application Gateway.

AllgemeinGeneral

Was ist Application Gateway?What is Application Gateway?

Azure Application Gateway stellt einen Application Deliver Controller (ADC) als Dienst bereit.Azure Application Gateway provides an application delivery controller (ADC) as a service. Er bietet verschiedene Layer-7-Lastenausgleichsfunktionen für Ihre Anwendungen.It offers various layer 7 load-balancing capabilities for your applications. Dieser Dienst ist hoch verfügbar und skalierbar und wird vollständig von Azure verwaltet.This service is highly available, scalable, and fully managed by Azure.

Welche Funktionen werden von Application Gateway unterstützt?What features does Application Gateway support?

Application Gateway unterstützt automatische Skalierung, SSL-Abladung und End-to-End-SSL, Web Application Firewall (WAF), cookiebasierte Sitzungsaffinität, Routing auf URL-Pfadbasis, Hosting für mehrere Standorte und vieles mehr.Application Gateway supports autoscaling, SSL offloading, and end-to-end SSL, a web application firewall (WAF), cookie-based session affinity, URL path-based routing, multisite hosting, and other features. Eine vollständige Liste der unterstützten Funktionen finden Sie unter Einführung in Application Gateway.For a full list of supported features, see Introduction to Application Gateway.

Was ist der Unterschied zwischen Application Gateway und Azure Load Balancer?How do Application Gateway and Azure Load Balancer differ?

Application Gateway ist ein Layer-7-Lastenausgleich und somit nur für Webdatenverkehr (HTTP/HTTPS/WebSocket und HTTP/2) geeignet.Application Gateway is a layer 7 load balancer, which means it works only with web traffic (HTTP, HTTPS, WebSocket, and HTTP/2). Er unterstützt Funktionen wie SSL-Beendigung, cookiebasierte Sitzungsaffinität und Roundrobin für den Lastenausgleich von Datenverkehr.It supports capabilities such as SSL termination, cookie-based session affinity, and round robin for load-balancing traffic. Load Balancer nimmt einen Lastausgleich des Datenverkehrs auf Schicht 4 (TCP/UDP) vor.Load Balancer load-balances traffic at layer 4 (TCP or UDP).

Welche Protokolle werden von Application Gateway unterstützt?What protocols does Application Gateway support?

Application Gateway unterstützt HTTP, HTTPS, HTTP/2 und WebSocket.Application Gateway supports HTTP, HTTPS, HTTP/2, and WebSocket.

Wie unterstützt Application Gateway HTTP/2?How does Application Gateway support HTTP/2?

Siehe Application Gateway – KonfigurationsübersichtSee HTTP/2 support.

Welche Ressourcen werden als Teil eines Back-End-Pools unterstützt?What resources are supported as part of a backend pool?

Siehe Application Gateway-KomponentenSee supported backend resources.

In welchen Regionen ist Application Gateway verfügbar?In what regions is Application Gateway available?

Application Gateway ist in allen Regionen des globalen Azure verfügbar.Application Gateway is available in all regions of global Azure. Der Dienst ist auch in Azure China 21Vianet und Azure Government verfügbar.It's also available in Azure China 21Vianet and Azure Government.

Ist diese Bereitstellung für mein Abonnement dediziert, oder wird sie zur gemeinsamen Nutzung für Kunden freigegeben?Is this deployment dedicated for my subscription, or is it shared across customers?

Application Gateway ist eine dedizierte Bereitstellung in Ihrem virtuellen Netzwerk.Application Gateway is a dedicated deployment in your virtual network.

Unterstützt Application Gateway HTTP-zu-HTTPS-Umleitung?Does Application Gateway support HTTP-to-HTTPS redirection?

Die Umleitung wird unterstützt.Redirection is supported. Weitere Informationen finden Sie unter Übersicht über die Umleitung in Application Gateway.See Application Gateway redirect overview.

In welcher Reihenfolge werden Listener verarbeitet?In what order are listeners processed?

Informationen hierzu finden Sie unter Application Gateway – Konfigurationsübersicht.See the order of listener processing.

Wo finde ich IP und DNS von Application Gateway?Where do I find the Application Gateway IP and DNS?

Wenn Sie eine öffentliche IP-Adresse als Endpunkt verwenden, finden Sie die Informationen zu IP und DNS in der Ressource der öffentlichen IP-Adresse.If you're using a public IP address as an endpoint, you'll find the IP and DNS information on the public IP address resource. Sie können sie auch im Portal auf der Übersichtsseite für das Anwendungsgateway abrufen.Or find it in the portal, on the overview page for the application gateway. Bei Verwendung von internen IP-Adressen finden Sie die Informationen auf der Übersichtsseite.If you're using internal IP addresses, find the information on the overview page.

Welche Einstellungen werden für das Keep-Alive-Timeout und das TCP-Leerlauftimeout verwendet?What are the settings for Keep-Alive timeout and TCP idle timeout?

In der Application Gateway v1-SKU beträgt das Keep-Alive-Timeout 120 Sekunden.In the Application Gateway v1 SKU, the Keep-Alive timeout is 120 seconds. Das Keep-Alive-Timeout für die v2-SKU beträgt 75 Sekunden.The Keep-Alive timeout for the v2 SKU is 75 seconds. Das TCP-Leerlauftimeout beträgt standardmäßig vier Minuten für die virtuelle IP (Virtual IP, VIP) des Front-Ends von Application Gateway.The TCP idle timeout is a 4-minute default on the frontend virtual IP (VIP) of Application Gateway.

Ändert sich die IP-Adresse oder der DNS-Name während der Lebensdauer des Anwendungsgateways?Does the IP or DNS name change over the lifetime of the application gateway?

Die VIP kann sich ändern, wenn Sie das Anwendungsgateway beenden und starten.The VIP can change if you stop and start the application gateway. Der zugeordnete DNS-Name des Anwendungsgateways ändert sich während der Lebensdauer des Gateways nicht.But the DNS name associated with the application gateway doesn't change over the lifetime of the gateway. Daher wird empfohlen, einen CNAME-Alias zu verwenden und damit auf die DNS-Adresse des Anwendungsgateways zu verweisen.Because the DNS name doesn't change, you should use a CNAME alias and point it to the DNS address of the application gateway.

Unterstützt Application Gateway statische IP-Adressen?Does Application Gateway support static IP?

Ja, die Application Gateway v2-SKU unterstützt statische öffentliche IP-Adressen.Yes, the Application Gateway v2 SKU supports static public IP addresses. Die v1-SKU unterstützt statische interne IP-Adressen.The v1 SKU supports static internal IPs.

Unterstützt Application Gateway mehrere öffentliche IP-Adressen auf dem Gateway?Does Application Gateway support multiple public IPs on the gateway?

Ein Anwendungsgateway unterstützt nur eine öffentliche IP-Adresse.An application gateway supports only one public IP address.

Wie groß soll ich mein Subnetz für Application Gateway auslegen?How large should I make my subnet for Application Gateway?

Siehe Application Gateway – KonfigurationsübersichtSee Application Gateway subnet size considerations.

Kann ich mehrere Application Gateway-Ressourcen in einem einzelnen Subnetz bereitstellen?Can I deploy more than one Application Gateway resource to a single subnet?

Ja.Yes. Sie können nicht nur mehrere Instanzen einer bestimmten Application Gateway-Bereitstellung besitzen, sondern auch eine weitere eindeutige Application Gateway-Ressource zu einem vorhandenen Subnetz hinzufügen, das eine andere Application Gateway-Ressource enthält.In addition to multiple instances of a given Application Gateway deployment, you can provision another unique Application Gateway resource to an existing subnet that contains a different Application Gateway resource.

Ein einzelnes Subnetz kann entweder eine Application Gateway-Instanz vom Typ „Standard“ oder eine Application Gateway-Instanz vom Typ „Standard_v2“ unterstützen, aber nicht beide gleichzeitig.A single subnet can't support both Standard_v2 and Standard Application Gateway together.

Werden X-Forwarded-For-Header von Application Gateway unterstützt?Does Application Gateway support x-forwarded-for headers?

Ja.Yes. Entsprechende Informationen finden Sie unter Funktionsweise von Application Gateway.See Modifications to a request.

Wie lange dauert das Bereitstellen eines Anwendungsgateways?How long does it take to deploy an application gateway? Funktioniert das Anwendungsgateway während einer Aktualisierung?Will my application gateway work while it's being updated?

Die Ausführung neuer Bereitstellungen der Application Gateway v1-SKU kann bis zu 20 Minuten dauern.New Application Gateway v1 SKU deployments can take up to 20 minutes to provision. Beim Vornehmen von Änderungen der Instanzgröße oder -anzahl wird der Betrieb nicht unterbrochen, und das Gateway bleibt währenddessen aktiv.Changes to instance size or count aren't disruptive, and the gateway remains active during this time.

Die Bereitstellung von Instanzen, die die v2-SKU nutzen, kann bis zu sechs Minuten dauern.Deployments that use the v2 SKU can take up to 6 minutes to provision.

Kann ich Exchange Server als Back-End mit Application Gateway verwenden?Can I use Exchange Server as a backend with Application Gateway?

Nein.No. Application Gateway unterstützt keine E-Mail-Protokolle wie SMTP, IMAP oder POP3.Application Gateway doesn't support email protocols such as SMTP, IMAP, and POP3.

LeistungPerformance

Wie unterstützt Application Gateway Hochverfügbarkeit und Skalierbarkeit?How does Application Gateway support high availability and scalability?

Die Application Gateway v1-SKU unterstützt Szenarien mit Hochverfügbarkeit, wenn zwei oder mehr Instanzen bereitgestellt wurden.The Application Gateway v1 SKU supports high-availability scenarios when you've deployed two or more instances. Azure verteilt diese Instanzen auf Update- und Fehlerdomänen, um sicherzustellen, dass nicht alle Instanzen gleichzeitig ausfallen.Azure distributes these instances across update and fault domains to ensure that instances don't all fail at the same time. Die v1-SKU unterstützt Skalierbarkeit durch Hinzufügen mehrerer Instanzen des gleichen Gateways, um die Last zu teilen.The v1 SKU supports scalability by adding multiple instances of the same gateway to share the load.

Die v2-SKU stellt automatisch sicher, dass neue Instanzen über Fehlerdomänen und Updatedomänen hinweg verteilt werden.The v2 SKU automatically ensures that new instances are spread across fault domains and update domains. Haben Sie Zonenredundanz gewählt, werden die neuesten Instanzen darüber hinaus über Verfügbarkeitszonen hinweg verteilt, um Resilienz gegen Zonenausfälle zu erreichen.If you choose zone redundancy, the newest instances are also spread across availability zones to offer zonal failure resiliency.

Wie erziele ich mit Application Gateway ein rechenzentrumsübergreifendes DR-Szenario?How do I achieve a DR scenario across datacenters by using Application Gateway?

Verteilen Sie Datenverkehr mithilfe von Traffic Manager auf mehrere Anwendungsgateways in verschiedenen Rechenzentren.Use Traffic Manager to distribute traffic across multiple application gateways in different datacenters.

Unterstützt Application Gateway automatische Skalierung?Does Application Gateway support autoscaling?

Ja, die Application Gateway v2-SKU unterstützt automatische Skalierung.Yes, the Application Gateway v2 SKU supports autoscaling. Weitere Informationen finden Sie unter Automatische Skalierung und zonenredundantes Application Gateway.For more information, see Autoscaling and Zone-redundant Application Gateway.

Werden durch das zentrale Hoch- oder Herunterskalieren Ausfallzeiten verursacht?Does manual scale up or scale down cause downtime?

Nein.No. Instanzen sind auf Upgrade- und Fehlerdomänen verteilt.Instances are distributed across upgrade domains and fault domains.

Unterstützt Application Gateway den Verbindungsausgleich?Does Application Gateway support connection draining?

Ja.Yes. Sie können den Verbindungsausgleich einrichten, um die Mitglieder in einem Back-End-Pool ohne Unterbrechung zu ändern.You can set up connection draining to change members within a backend pool without disruption. Mit dieser Einrichtung können vorhandene Verbindungen weiterhin an ihr vorheriges Ziel gesendet werden, bis entweder diese Verbindung geschlossen wird oder ein konfigurierbares Zeitlimit abläuft.This setup allows you to continue to send existing connections to their previous destination until either that connection closes or a configurable timeout expires. Der Verbindungsausgleich wartet nur auf die Beendigung der aktuellen aktiven Verbindungen.Connection draining waits for only current in-flight connections to finish. Application Gateway kennt den Status der Anwendungssitzung nicht.Application Gateway isn't aware of the application session state.

Kann ich Instanzgröße ohne Unterbrechung von mittel zu groß ändern?Can I change instance size from medium to large without disruption?

Ja.Yes. Azure verteilt Instanzen auf Update- und Fehlerdomänen, um sicherzustellen, dass nicht alle Instanzen gleichzeitig ausfallen.Azure distributes instances across update and fault domains to ensure that instances don't fail all at the same time. Application Gateway unterstützt Skalierung durch Hinzufügen mehrerer Instanzen desselben Gateways, um die Last zu teilen.Application Gateway supports scaling by adding multiple instances of the same gateway to share the load.

KonfigurationConfiguration

Wird Application Gateway immer in einem virtuellen Netzwerk bereitgestellt?Is Application Gateway always deployed in a virtual network?

Ja.Yes. Application Gateway wird immer in einem Subnetz des virtuellen Netzwerks bereitgestellt.Application Gateway is always deployed in a virtual network subnet. Dieses Subnetz kann nur Anwendungsgateways enthalten.This subnet can contain only application gateways. Weitere Informationen finden Sie unter Application Gateway – Konfigurationsübersicht.For more information, see virtual network and subnet requirements.

Kann Application Gateway mit Instanzen außerhalb des eigenen virtuellen Netzwerks oder des eigenen Abonnements kommunizieren?Can Application Gateway communicate with instances outside of its virtual network or outside of its subscription?

Application Gateway kann mit Instanzen außerhalb des eigenen virtuellen Netzwerks kommunizieren, sofern eine IP-Verbindung besteht.As long as you have IP connectivity, Application Gateway can communicate with instances outside of the virtual network that it's in. Application Gateway kann auch mit Instanzen außerhalb des eigenen Abonnements kommunizieren.Application Gateway can also communicate with instances outside of the subscription it's in. Wenn Sie die Verwendung interner IP-Adressen als Back-End-Pool-Mitglieder planen, ist ein Peering virtueller Netzwerke oder Azure VPN Gateway erforderlich.If you plan to use internal IPs as backend pool members, use virtual network peering or Azure VPN Gateway.

Kann ich im Application Gateway-Subnetz noch etwas anderes bereitstellen?Can I deploy anything else in the application gateway subnet?

Nein.No. Aber Sie können weitere Application Gateway-Instanzen im Subnetz bereitstellen.But you can deploy other application gateways in the subnet.

Werden Netzwerksicherheitsgruppen im Application Gateway-Subnetz unterstützt?Are network security groups supported on the application gateway subnet?

Siehe Application Gateway – KonfigurationsübersichtSee Network security groups in the Application Gateway subnet.

Unterstützt das Application Gateway-Subnetz benutzerdefinierte Routen?Does the application gateway subnet support user-defined routes?

Siehe Application Gateway – KonfigurationsübersichtSee User-defined routes supported in the Application Gateway subnet.

Was sind die Grenzwerte für Application Gateway?What are the limits on Application Gateway? Kann ich diese Grenzwerte erhöhen?Can I increase these limits?

Siehe Einschränkungen für Azure-Abonnements und Dienste, Kontingente und EinschränkungenSee Application Gateway limits.

Kann ich Application Gateway gleichzeitig für externen und internen Datenverkehr verwenden?Can I simultaneously use Application Gateway for both external and internal traffic?

Ja.Yes. Application Gateway unterstützt pro Instanz eine interne und eine externe IP-Adresse.Application Gateway supports one internal IP and one external IP per application gateway.

Unterstützt Application Gateway das Peering virtueller Netzwerke?Does Application Gateway support virtual network peering?

Ja.Yes. Das Peering virtueller Netzwerke ermöglicht den Lastenausgleich von Datenverkehr in anderen virtuellen Netzwerken.Virtual network peering helps load-balance traffic in other virtual networks.

Kann ich mit lokalen Servern kommunizieren, wenn sie über ExpressRoute- oder VPN-Tunnel verbunden sind?Can I talk to on-premises servers when they're connected by ExpressRoute or VPN tunnels?

Ja, sofern Datenverkehr zugelassen wird.Yes, as long as traffic is allowed.

Kann ein Back-End-Pool für das Bereitstellen mehrerer Anwendungen an unterschiedlichen Ports verwendet werden?Can one backend pool serve many applications on different ports?

Microservice-Architektur wird unterstützt.Microservice architecture is supported. Für das Testen an unterschiedlichen Ports müssen Sie mehrere HTTP-Einstellungen konfigurieren.To probe on different ports, you need to configure multiple HTTP settings.

Unterstützen benutzerdefinierte Tests Platzhalter oder reguläre Ausdrücke in Antwortdaten?Do custom probes support wildcards or regex on response data?

Nein.No.

Wie werden Routingregeln in Application Gateway verarbeitet?How are routing rules processed in Application Gateway?

Siehe Application Gateway – KonfigurationsübersichtSee Order of processing rules.

Was ist im Feld „Host“ für benutzerdefinierte Überprüfungen angegeben?For custom probes, what does the Host field signify?

Wenn Sie mehrere Standorte für Application Gateway konfiguriert haben, wird im Feld „Host“ der Name angegeben, an den der Test gesendet werden soll.The Host field specifies the name to send the probe to when you've configured multisite on Application Gateway. Verwenden Sie andernfalls „127.0.0.1“.Otherwise use '127.0.0.1'. Dieser Wert entspricht nicht dem Hostnamen des virtuellen Computers.This value is different from the virtual machine host name. Sein Format ist <Protokoll>://<Host>:<Port><Pfad>.Its format is <protocol>://<host>:<port><path>.

Kann ich nur einigen wenigen Quell-IP-Adressen Zugriff auf Application Gateway gewähren?Can I allow Application Gateway access to only a few source IP addresses?

Ja.Yes. Weitere Informationen finden Sie unter Application Gateway – Konfigurationsübersicht.See restrict access to specific source IPs.

Kann ich den gleichen Port sowohl für öffentliche als auch für private Listener verwenden?Can I use the same port for both public-facing and private-facing listeners?

Nein.No.

Gibt es Richtlinien für die Migration von der v1-SKU zur v2-SKU?Is there guidance available to migrate from the v1 SKU to the v2 SKU?

Ja.Yes. Details dazu finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2.For details see, Migrate Azure Application Gateway and Web Application Firewall from v1 to v2.

Konfiguration: SSLConfiguration - SSL

Welche Zertifikate werden von Application Gateway unterstützt?What certificates does Application Gateway support?

Application Gateway unterstützt selbstsignierte Zertifikate, Zertifizierungsstellenzertifikate, Zertifikate für die erweiterte Validierung und Platzhalterzertifikate.Application Gateway supports self-signed certificates, certificate authority (CA) certificates, Extended Validation (EV) certificates, and wildcard certificates.

Welche Verschlüsselungssammlungen werden von Application Gateway unterstützt?What cipher suites does Application Gateway support?

Application Gateway unterstützt die folgenden Verschlüsselungssammlungen:Application Gateway supports the following cipher suites.

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHA256TLS_DHE_DSS_WITH_AES_256_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256TLS_DHE_DSS_WITH_AES_128_CBC_SHA256
  • TLS_DHE_DSS_WITH_AES_256_CBC_SHATLS_DHE_DSS_WITH_AES_256_CBC_SHA
  • TLS_DHE_DSS_WITH_AES_128_CBC_SHATLS_DHE_DSS_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHATLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHATLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

Informationen zum Anpassen von SSL-Optionen finden Sie unter Konfigurieren von SSL-Richtlinienversionen und Verschlüsselungssammlungen für Application Gateway.For information on how to customize SSL options, see Configure SSL policy versions and cipher suites on Application Gateway.

Unterstützt Application Gateway eine erneute Verschlüsselung des Datenverkehrs an das Back-End?Does Application Gateway support reencryption of traffic to the backend?

Ja.Yes. Application Gateway unterstützt SSL-Abladung sowie End-to-End-SSL, das den Datenverkehr an das Back-End erneut verschlüsselt.Application Gateway supports SSL offload and end-to-end SSL, which reencrypt traffic to the backend.

Kann ich die SSL-Richtlinie für die Steuerung von SSL-Protokollversionen konfigurieren?Can I configure SSL policy to control SSL protocol versions?

Ja.Yes. Sie können Application Gateway zum Abweisen von TLS1.0, TLS1.1 und TLS1.2 konfigurieren.You can configure Application Gateway to deny TLS1.0, TLS1.1, and TLS1.2. Standardmäßig sind SSL 2.0 und 3.0 bereits deaktiviert und nicht konfigurierbar.By default, SSL 2.0 and 3.0 are already disabled and aren't configurable.

Kann ich Verschlüsselungssammlungen und die Richtlinienreihenfolge konfigurieren?Can I configure cipher suites and policy order?

Ja.Yes. In Application Gateway können Sie Verschlüsselungssammlungen konfigurieren.In Application Gateway, you can configure cipher suites. Aktivieren Sie zum Definieren einer benutzerdefinierten Richtlinie mindestens eine der folgenden Verschlüsselungssammlungen:To define a custom policy, enable at least one of the following cipher suites.

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256TLS_RSA_WITH_AES_128_CBC_SHA256

Application Gateway verwendet SHA256 für die Back-End-Verwaltung.Application Gateway uses SHA256 to for backend management.

Wie viele Zertifikate werden von Application Gateway unterstützt?How many SSL certificates does Application Gateway support?

Application Gateway unterstützt bis zu 100 SSL-Zertifikate.Application Gateway supports up to 100 SSL certificates.

Wie viele Authentifizierungszertifikate für die erneute Back-End-Verschlüsselung werden von Application Gateway unterstützt?How many authentication certificates for backend reencryption does Application Gateway support?

Application Gateway unterstützt bis zu 10 Authentifizierungszertifikate.Application Gateway supports up to 10 authentication certificates. Der Standardwert ist 5.The default is 5.

Lässt sich Application Gateway nativ in Azure Key Vault integrieren?Does Application Gateway natively integrate with Azure Key Vault?

Ja, die Application Gateway v2-SKU unterstützt Key Vault.Yes, the Application Gateway v2 SKU supports Key Vault. Weitere Informationen finden Sie unter SSL-Terminierung mit Key Vault-Zertifikaten.For more information, see SSL termination with Key Vault certificates.

Wie konfiguriere ich HTTPS-Listener für Websites vom Typ „.com“ und „.net“?How do I configure HTTPS listeners for .com and .net sites?

Für das Routing auf der Grundlage mehrerer Domänen (hostbasiertes Routing) können Sie Listener für mehrere Standorte erstellen, Listener einrichten, die als Protokoll HTTPS verwenden, und die Listener mit den Routingregeln verknüpfen.For multiple domain-based (host-based) routing, you can create multisite listeners, set up listeners that use HTTPS as the protocol, and associate the listeners with the routing rules. Weitere Informationen finden Sie unter Anwendungsgateways – Hosten mehrerer Websites.For more information, see Hosting multiple sites by using Application Gateway.

Konfiguration: Web Application Firewall (WAF)Configuration - web application firewall (WAF)

Bietet die WAF-SKU alle Funktionen, die in der Standard-SKU verfügbar sind?Does the WAF SKU offer all the features available in the Standard SKU?

Ja.Yes. WAF unterstützt alle Funktionen in der Standard-SKU.WAF supports all the features in the Standard SKU.

Welche CRS-Versionen werden von Application Gateway unterstützt?Which CRS versions does Application Gateway support?

Application Gateway unterstützt CRS 2.2.9 und CRS 3.0.Application Gateway supports CRS 2.2.9 and CRS 3.0.

Wie überwache ich WAF?How do I monitor WAF?

Überwachen Sie WAF über die Diagnoseprotokollierung.Monitor WAF through diagnostic logging. Weitere Informationen finden Sie unter Back-End-Integrität, Diagnoseprotokollierung und Metriken für Application Gateway.For more information, see Diagnostic logging and metrics for Application Gateway.

Wird Datenverkehr durch den Erkennungsmodus blockiert?Does detection mode block traffic?

Nein.No. Der Erkennungsmodus protokolliert nur Datenverkehr, der eine WAF-Regel auslöst.Detection mode only logs traffic that triggers a WAF rule.

Kann ich WAF-Regeln anpassen?Can I customize WAF rules?

Ja.Yes. Weitere Informationen finden Sie unter Anpassen von Web Application Firewall-Regeln mit dem Azure-Portal.For more information, see Customize WAF rule groups and rules.

Welche Regeln sind derzeit für WAF verfügbar?What rules are currently available for WAF?

WAF unterstützt derzeit CRS 2.2.9 und 3.0.WAF currently supports CRS 2.2.9 and 3.0. Diese Regeln bieten grundlegende Sicherheit für die meisten der zehn wichtigsten, von Open Web Application Security Project (OWASP) identifizierten Sicherheitsrisiken.These rules provide baseline security against most of the top-10 vulnerabilities that Open Web Application Security Project (OWASP) identifies:

  • Schutz vor Einschleusung von SQL-BefehlenSQL injection protection
  • Schutz vor websiteübergreifendem SkriptingCross-site scripting protection
  • Schutz vor allgemeinen Webangriffen wie Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File Inclusion.Protection against common web attacks such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion attack
  • Schutz vor Verletzungen des HTTP-ProtokollsProtection against HTTP protocol violations
  • Schutz vor HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des HostsProtection against HTTP protocol anomalies such as missing host user-agent and accept headers
  • Verhindern von Bots, Crawlern und ScannernPrevention against bots, crawlers, and scanners
  • Erkennung allgemeiner Fehler bei der Anwendungskonfiguration (in Bezug auf Apache, IIS usw.)Detection of common application misconfigurations (that is, Apache, IIS, and so on)

Weitere Informationen finden Sie im Artikel zu den zehn wichtigsten, von OWASP identifizierten Sicherheitsrisiken.For more information, see OWASP top-10 vulnerabilities.

Unterstützt WAF DDoS-Schutz?Does WAF support DDoS protection?

Ja.Yes. Sie können DDoS-Schutz im virtuellen Netzwerk aktivieren, in dem das Anwendungsgateway bereitgestellt wird.You can enable DDoS protection on the virtual network where the application gateway is deployed. Mit dieser Einstellung wird sichergestellt, dass der Azure DDoS Protection-Dienst auch die VIP-Adresse des Anwendungsgateways schützt.This setting ensures that the Azure DDoS Protection service also protects the application gateway virtual IP (VIP).

Gibt es Richtlinien für die Migration von der v1-SKU zur v2-SKU?Is there guidance available to migrate from the v1 SKU to the v2 SKU?

Ja.Yes. Details dazu finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2.For details see, Migrate Azure Application Gateway and Web Application Firewall from v1 to v2.

Diagnose und ProtokollierungDiagnostics and logging

Welche Protokolltypen bietet Application Gateway?What types of logs does Application Gateway provide?

In Application Gateway stehen drei Protokolle zur Verfügung:Application Gateway provides three logs:

  • ApplicationGatewayAccessLog: Das Zugriffsprotokoll enthält jede an das Application Gateway-Front-End gesendete Anforderung.ApplicationGatewayAccessLog: The access log contains each request submitted to the application gateway frontend. Die Daten enthalten die IP des Aufrufers, die angeforderte URL, die Antwortlatenz, den Rückgabecode sowie die ein- und ausgehenden Bytes. Das Zugriffsprotokoll wird alle 300 Sekunden erstellt.The data includes the caller's IP, URL requested, response latency, return code, and bytes in and out. The access log is collected every 300 seconds. Es enthält einen Datensatz pro Anwendungsgateway.It contains one record per application gateway.
  • ApplicationGatewayPerformanceLog: Das Leistungsprotokoll erfasst Leistungsinformationen für jedes Anwendungsgateway.ApplicationGatewayPerformanceLog: The performance log captures performance information for each application gateway. Zu den Informationen zählen der Durchsatz in Bytes, die Gesamtanzahl übermittelter Anforderungen, Fehler bei der Anzahl der Anforderungen sowie die Anzahl fehlerfreier und fehlerhafter Back-End-Instanzen.Information includes the throughput in bytes, total requests served, failed request count, and healthy and unhealthy backend instance count.
  • ApplicationGatewayFirewallLog: Bei mit WAF konfigurierten Anwendungsgateways enthält das Firewallprotokoll Anforderungen, die entweder über den Erkennungs- oder über den Schutzmodus protokolliert werden.ApplicationGatewayFirewallLog: For application gateways that you configure with WAF, the firewall log contains requests that are logged through either detection mode or prevention mode.

Weitere Informationen finden Sie unter Back-End-Integrität, Diagnoseprotokolle und Metriken für Application Gateway.For more information, see Backend health, diagnostics logs, and metrics for Application Gateway.

Wie erkenne ich, dass die Mitglieder meines Back-End-Pools fehlerfrei sind?How do I know if my backend pool members are healthy?

Überprüfen Sie die Integrität mithilfe des PowerShell-Cmdlets Get-AzApplicationGatewayBackendHealth oder über das Portal.Verify health by using the PowerShell cmdlet Get-AzApplicationGatewayBackendHealth or the portal. Weitere Informationen finden Sie unter Application Gateway-Diagnose.For more information, see Application Gateway diagnostics.

Welche Aufbewahrungsrichtlinie gilt für die Diagnoseprotokolle?What's the retention policy for the diagnostic logs?

Diagnoseprotokolle werden an das Speicherkonto des Kunden gesendet.Diagnostic logs flow to the customer's storage account. Kunden können die Aufbewahrungsrichtlinie je nach Präferenz festlegen.Customers can set the retention policy based on their preference. Diagnoseprotokolle können auch an einen Event Hub oder an Azure Monitor-Protokolle gesendet werden.Diagnostic logs can also be sent to an event hub or Azure Monitor logs. Weitere Informationen finden Sie unter Application Gateway-Diagnose.For more information, see Application Gateway diagnostics.

Wie erhalte ich die Überwachungsprotokolle für Application Gateway?How do I get audit logs for Application Gateway?

Wählen Sie im Portal auf dem Menüblatt eines Anwendungsgateways die Option Aktivitätsprotokoll aus, um das Überwachungsprotokoll aufzurufen.In the portal, on the menu blade of an application gateway, select Activity Log to access the audit log.

Kann ich mit Application Gateway Warnungen einrichten?Can I set alerts with Application Gateway?

Ja.Yes. In Application Gateway werden Warnungen für Metriken konfiguriert.In Application Gateway, alerts are configured on metrics. Weitere Informationen finden Sie unter Back-End-Integrität, Diagnoseprotokolle und Metriken für Application Gateway und Überblick über Warnungen in Microsoft Azure.For more information, see Application Gateway metrics and Receive alert notifications.

Wie lassen sich Datenverkehrsstatistiken für Application Gateway analysieren?How do I analyze traffic statistics for Application Gateway?

Sie haben verschiedene Möglichkeiten zum Anzeigen und Analysieren von Zugriffsprotokollen.You can view and analyze access logs in several ways. Sie können Azure Monitor-Protokolle, Excel, Power BI usw. verwenden.Use Azure Monitor logs, Excel, Power BI, and so on.

Sie können auch eine Resource Manager-Vorlage verwenden, die die beliebte GoAccess-Protokollanalyse für Application Gateway-Zugriffsprotokolle installiert und ausführt.You can also use a Resource Manager template that installs and runs the popular GoAccess log analyzer for Application Gateway access logs. GoAccess stellt wertvolle HTTP-Datenverkehrsstatistiken bereit, z. B. eindeutige Besucher, angeforderte Dateien, Hosts, Betriebssysteme, Browser und HTTP-Statuscodes.GoAccess provides valuable HTTP traffic statistics such as unique visitors, requested files, hosts, operating systems, browsers, and HTTP status codes. Weitere Informationen finden Sie auf GitHub in der Infodatei im Resource Manager-Vorlagenordner.For more information, in GitHub, see the Readme file in the Resource Manager template folder.

Was kann dazu führen, dass für die Back-End-Integrität ein unbekannter Status angezeigt wird?What could cause backend health to return an unknown status?

In der Regel wird ein unbekannter Status angezeigt, wenn der Zugriff auf das Back-End durch eine Netzwerksicherheitsgruppe (NSG), einen benutzerdefinierten DNS oder durch benutzerdefiniertes Routing für das Application Gateway-Subnetz blockiert wird.Usually, you see an unknown status when access to the backend is blocked by a network security group (NSG), custom DNS, or user-defined routing (UDR) on the application gateway subnet. Weitere Informationen finden Sie unter Back-End-Integrität, Diagnoseprotokolle und Metriken für Application Gateway.For more information, see Backend health, diagnostics logging, and metrics for Application Gateway.

Nächste SchritteNext steps

Weitere Informationen zu Application Gateway finden Sie unter Was ist Azure Application Gateway?.To learn more about Application Gateway, see What is Azure Application Gateway?.