Panoramica del gateway applicazioneOverview of Application Gateway

Il gateway applicazione di Microsoft Azure è un'appliance virtuale dedicata che offre un servizio di controller per la distribuzione di applicazioni (ADC, Application Delivery Controller)Microsoft Azure Application Gateway is a dedicated virtual appliance providing application delivery controller (ADC) as a service. e varie funzionalità di bilanciamento del carico di livello 7 per l'applicazione.It offers various layer 7 load balancing capabilities for your application. Consente ai clienti di ottimizzare la produttività delle Web farm eseguendo l'offload al gateway applicazione della terminazione SSL con utilizzo elevato di CPU.It allows customers to optimize web farm productivity by offloading CPU intensive SSL termination to the application gateway. Offre anche altre funzionalità di routing di livello 7, tra cui la distribuzione round robin del traffico in ingresso, l'affinità di sessione basata su cookie, il routing basato su percorso URL e la possibilità di ospitare più siti Web dietro un unico gateway applicazione.It also provides other layer 7 routing capabilities including round robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single Application Gateway. Nello SKU WAF del gateway applicazione è incluso anche un Web application firewall (WAF).A web application firewall (WAF) is also provided as part of the application gateway WAF SKU. Questo offre alle applicazioni Web la protezione da exploit e vulnerabilità Web comuni.It provides protection to web applications from common web vulnerabilities and exploits. Il gateway applicazione può essere configurato come gateway con connessione Internet, come gateway solo interno o come una combinazione di queste due opzioni.Application Gateway can be configured as internet facing gateway, internal only gateway, or a combination of both.

scenario

FunzionalitàFeatures

Il gateway applicazione offre attualmente le funzionalità seguenti:Application Gateway currently provides the following capabilities:

  • Web application firewall: il Web application firewall (WAF) del gateway applicazione di Azure protegge le applicazioni Web da attacchi basati sul Web comuni come SQL injection, cross-site scripting e hijack della sessione.Web application firewall - The web application firewall (WAF) in Azure Application Gateway protects web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacks.
  • Bilanciamento del carico HTTP : il gateway applicazione fornisce il bilanciamento del carico round robin.HTTP load balancing - Application Gateway provides round robin load balancing. Il bilanciamento del carico viene eseguito al livello 7 e viene usato solo per il traffico HTTP(S).Load balancing is done at Layer 7 and is used for HTTP(S) traffic only.
  • Affinità di sessione basata su cookie: questa funzionalità è utile quando si vuole mantenere una sessione utente nello stesso back-end.Cookie-based session affinity - The cookie-based session affinity feature is useful when you want to keep a user session on the same back-end. Usando cookie i gestiti dal gateway, il gateway applicazione può indirizzare il traffico successivo proveniente da una sessione utente allo stesso back-end per l'elaborazione.By using gateway-managed cookies, the Application Gateway is able to direct subsequent traffic from a user session to the same back-end for processing. Questa funzionalità è importante nei casi in cui lo stato della sessione viene salvato in locale sul server back-end per una sessione utente.This feature is important in cases where session state is saved locally on the back-end server for a user session.
  • Offload SSL (Secure Sockets Layer): questa funzionalità consente di evitare costose attività di decrittografia del traffico HTTPS nei server Web.Secure Sockets Layer (SSL) offload - This feature takes the costly task of decrypting HTTPS traffic off your web servers. Terminando la connessione SSL in corrispondenza del gateway applicazione e inoltrando al server la richiesta non crittografata, il server Web non deve gestire la decrittografia.By terminating the SSL connection at the Application Gateway and forwarding the request to the server unencrypted, the web server is unburdened by decryption. Il gateway applicazione crittografa nuovamente la risposta prima di restituirla al client.Application Gateway re-encrypts the response before sending it back to the client. Questa funzionalità è utile negli scenari in cui il back-end si trova nella stessa rete virtuale protetta del gateway applicazione in Azure.This feature is useful in scenarios where the back-end is located in the same secured virtual network as the Application Gateway in Azure.
  • SSL end-to-end: il gateway applicazione supporta la crittografia end-to-end del traffico.End to End SSL - Application Gateway supports end to end encryption of traffic. A tale scopo, il gateway applicazione chiude la connessione SSL nel gateway applicazione.Application Gateway does this by terminating the SSL connection at the application gateway. Il gateway quindi applica le regole di routing al traffico, crittografare nuovamente il pacchetto e inoltra il pacchetto al back-end appropriato in base alle regole di routing definite.The gateway then applies the routing rules to the traffic, re-encrypts the packet, and forwards the packet to the appropriate backend based on the routing rules defined. Eventuali risposte dal server Web subiscono lo stesso processo in ritorno verso l'utente finale.Any response from the web server goes through the same process back to the end user.
  • Routing del contenuto basato su URL: questa funzionalità offre la possibilità di usare server back-end diversi per traffico diverso.URL-based content routing - This feature provides the capability to use different back-end servers for different traffic. Il traffico per una cartella nel server Web o per una rete CDN potrebbe essere instradato a un back-end diverso.Traffic for a folder on the web server or for a CDN could be routed to a different back-end. Questa funzionalità riduce il carico non necessario nei back-end che non gestiscono contenuto specifico.This capability reduces unneeded load on backends that don't serve specific content.
  • Routing multisito: il gateway applicazione consente di consolidare fino a 20 siti Web in un singolo gateway applicazione.Multi-site routing - Application gateway allows for you to consolidate up to 20 websites on a single application gateway.
  • Supporto di WebSocket: un'altra eccellente funzionalità del gateway applicazione è il supporto nativo per WebSocket.Websocket support - Another great feature of Application Gateway is the native support for Websocket.
  • Monitoraggio dell'integrità: il gateway applicazione offre il monitoraggio predefinito dell'integrità delle risorse back-end e probe personalizzati per il monitoraggio di scenari più specifici.Health monitoring - Application gateway provides default health monitoring of backend resources and custom probes to monitor for more specific scenarios.
  • Criteri SSL e crittografie: questa funzionalità consente di limitare le versioni del protocollo SSL e i pacchetti di crittografia supportati e l'ordine in cui vengono elaborati.SSL Policy and Ciphers - This feature provides the ability to limit the SSL protocol versions and the ciphers suites that are supported and the order in which they are processed.
  • Reindirizzamento delle richieste: questa funzionalità offre la possibilità di reindirizzare le richieste HTTP a un listener HTTPS.Request redirect - This feature provides the capability to redirect HTTP requests to an HTTPS listener.
  • Supporto di back-end multi-tenant: il gateway applicazione supporta la configurazione di servizi back-end multi-tenant, come App Web di Azure e il gateway API, come membri del pool back-end.Multi-tenant back-end support - Application gateway supports configuring multi-tenant back-end services like Azure Web Apps and API Gateway as back-end pool members.
  • Diagnostica avanzata: il gateway applicazione fornisce i log di diagnostica e accesso completi.Advanced diagnostics - Application gateway provides full diagnostics and access logs. I registri firewall sono disponibili per le risorse del gateway applicazione con WAF abilitato.Firewall logs are available for application gateway resources that have WAF enabled.

VantaggiBenefits

Il gateway applicazione è utile per:Application Gateway is useful for:

  • Applicazioni che necessitano delle richieste provenienti dalla stessa sessione utente/client per raggiungere la stessa macchina virtuale back-end,Applications that require requests from the same user/client session to reach the same back-end virtual machine. ad esempio applicazioni carrello acquisti e server di posta Web.Examples of these applications would be shopping cart applications and web mail servers.
  • Rimozione del sovraccarico della terminazione SSL per le server farm Web.Removing SSL termination overhead for web server farms.
  • Applicazioni, come la rete per la distribuzione di contenuti, per cui è necessario che più richieste HTTP nella stessa connessione TCP con esecuzione prolungata vengano instradate/bilanciate in server back-end diversi.Applications, such as a content delivery network, that requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.
  • Applicazioni che supportano il traffico WebSocketApplications that support websocket traffic
  • Protezione delle applicazioni Web dai comuni attacchi basati sul Web, come attacchi SQL injection, attacchi di scripting intersito e hijack delle sessioni.Protecting web applications from common web-based attacks like SQL injection, cross-site scripting attacks, and session hijacks.
  • Distribuzione logica del traffico in base a diversi criteri di routing, ad esempio percorso dell'URL o intestazioni del dominio.Logical distribution of traffic based on different routing criteria such as, url path or domain headers.

È completamente gestito in Azure e offre scalabilità e disponibilità elevata,Application Gateway is fully Azure managed, scalable and highly available. oltre a un set completo di funzionalità di registrazione e diagnostica che ne migliorano la gestibilità.It provides a rich set of diagnostics and logging capabilities for better manageability. Quando si crea un gateway applicazione, un endpoint (indirizzo VIP o IP ILB interno) viene associato e usato per il traffico di rete in ingresso.When you create an application gateway, an endpoint (public VIP or internal ILB IP) is associated and used for ingress network traffic. L'indirizzo VIP o IP ILB viene fornito da Azure Load Balancer, che opera a livello di trasporto (TCP/UDP) e garantisce il bilanciamento del carico di tutto il traffico di rete in ingresso nelle istanze del ruolo di lavoro del gateway applicazione.This VIP or ILB IP is provided by Azure Load Balancer working at the transport level (TCP/UDP) and having all incoming network traffic being load balanced to the application gateway worker instances. Il gateway applicazione instrada quindi il traffico HTTP/HTTPS in base alla relativa configurazione, sia che si tratti di una macchina virtuale, di un servizio cloud o di un indirizzo IP interno o esterno.The application gateway then routes the HTTP/HTTPS traffic based on its configuration whether it's a virtual machine, cloud service, internal or an external IP address.

Il bilanciamento del carico del gateway applicazione come servizio gestito da Azure consente il provisioning di un servizio di bilanciamento del carico di livello 7 dietro il servizio di bilanciamento del carico del software di Azure.Application Gateway load balancing as an Azure-managed service allows the provisioning of a layer 7 load balancer behind the Azure software load balancer. Gestione traffico può essere usato per completare lo scenario come illustrato nell'immagine seguente, in cui Gestione traffico fornisce il reindirizzamento e la disponibilità del traffico a più risorse del gateway applicazione in aree diverse, mentre il gateway applicazione il fornisce bilanciamento del carico di livello 7 tra le aree.Traffic manager can be used to complete the scenario as seen in the following image, where Traffic Manager provides redirection and availability of traffic to multiple application gateway resources in different regions, while application gateway provides cross region layer 7 load balancing. Un esempio di questo scenario è disponibile in Using load balancing services in the Azure cloud (Uso dei servizi di bilanciamento del carico nel cloud di Azure)An example of this scenario can be found at: Using load balancing services in the Azure cloud

Scenario di Gestione traffico e gateway applicazione

Differenze del servizio di bilanciamento del caricoLoad Balancer differences

Sono disponibili diverse opzioni per distribuire il traffico di rete tramite Microsoft Azure.There are different options to distribute network traffic using Microsoft Azure. Queste opzioni funzionano in modo diverso, vantano un set di funzionalità differenti e supportano diversi scenari.These options work differently from each other, having a different feature set and support different scenarios. Possono essere utilizzate singolarmente o in combinazione.They can each be used in isolation, or combining them.

  • Azure Load Balancer funziona al livello trasporto (livello 4 nello stack di riferimento di rete OSI).Azure Load Balancer works at the transport layer (Layer 4 in the OSI network reference stack). Assicura la distribuzione del traffico a livello di rete tra le istanze di un'applicazione in esecuzione nello stesso data center di Azure.It provides network-level distribution of traffic across instances of an application running in the same Azure data center.
  • gateway applicazione funziona a livello di applicazione (livello 7 nello stack di riferimento di rete OSI).Application Gateway works at the application layer (Layer 7 in the OSI network reference stack). Agisce come un servizio di proxy inverso, terminando la connessione di client e inoltrando richieste a endpoint di back-end.It acts as a reverse-proxy service, terminating the client connection and forwarding requests to back-end endpoints.
  • servizio Gestione traffico funziona a livello DNS.Traffic Manager works at the DNS level. Usa le risposte DNS per indirizzare il traffico degli utenti finali agli endpoint distribuiti a livello globale.It uses DNS responses to direct end-user traffic to globally distributed endpoints. I client si connettono quindi direttamente a questi endpoint.Clients then connect to those endpoints directly.

La tabella seguente riepiloga le funzionalità offerte da ogni servizio:The following table summarizes the features offered by each service:

ServiceService Azure Load BalancerAzure Load Balancer gateway applicazioneApplication Gateway servizio Gestione trafficoTraffic Manager
TecnologiaTechnology Livello trasporto (livello 4)Transport level (Layer 4) Livello applicazione (livello 7)Application level (Layer 7) Livello DNSDNS level
Protocolli di applicazioni supportatiApplication protocols supported QualsiasiAny HTTP, HTTPS e WebSocketHTTP, HTTPS, and WebSockets Qualsiasi (è richiesto un endpoint HTTP per il monitoraggio degli endpoint)Any (An HTTP endpoint is required for endpoint monitoring)
EndpointEndpoints Istanze del ruolo VM e Servizi cloud di AzureAzure VMs and Cloud Services role instances Un indirizzo IP interno di Azure, un indirizzo IP Internet pubblico, una VM di Azure o un servizio cloud di AzureAny Azure internal IP address, public internet IP address, Azure VM, or Azure Cloud Service VM di Azure, Servizi Cloud, App Web di Azure ed endpoint esterniAzure VMs, Cloud Services, Azure Web Apps, and external endpoints
Supporto della rete virtualeVnet support Può essere utilizzato sia per applicazioni con connessione Internet sia per applicazioni interne (rete virtuale)Can be used for both Internet facing and internal (Vnet) applications Può essere utilizzato sia per applicazioni con connessione Internet sia per applicazioni interne (rete virtuale)Can be used for both Internet facing and internal (Vnet) applications Supporta solo applicazioni con connessione InternetOnly supports Internet-facing applications
Monitoraggio degli endpointEndpoint Monitoring supportato tramite probeSupported via probes supportato tramite probeSupported via probes supportato tramite HTTP/HTTPS GETSupported via HTTP/HTTPS GET

Azure Load Balancer e il gateway applicazione di Azure indirizzano il traffico di rete agli endpoint, ma presentano diversi scenari di uso in base al traffico da gestire.Azure Load Balancer and Application Gateway route network traffic to endpoints but they have different usage scenarios to which traffic to handle. La tabella seguente consente di comprendere la differenza tra i due servizi di bilanciamento del carico:The following table helps understanding the difference between the two load balancers:

TipoType Azure Load BalancerAzure Load Balancer gateway applicazioneApplication Gateway
ProtocolliProtocols UDP/TCPUDP/TCP HTTP, HTTPS e WebSocketHTTP, HTTPS, and WebSockets
Prenotazione IPIP reservation SupportatoSupported Non supportateNot supported
Modalità di bilanciamento del caricoLoad balancing mode 5 tuple (IP di origine, porta di origine, IP di destinazione, porta di destinazione, tipo di protocollo)5-tuple(source IP, source port, destination IP, destination port, protocol type) Round robinRound Robin
Routing basato su URLRouting based on URL
Modalità di bilanciamento del carico (IP di origine / sessioni permanenti)Load balancing mode (source IP /sticky sessions) 2 tuple (IP di origine e IP di destinazione), 3 tuple (IP di origine, IP di destinazione e porta).2-tuple (source IP and destination IP), 3-tuple (source IP, destination IP, and port). Possono aumentare o diminuire in base al numero di macchine virtualiCan scale up or down based on the number of virtual machines Affinità basata sui cookieCookie-based affinity
Routing basato su URLRouting based on URL
Probe di integritàHealth probes Predefinito: intervallo di probe - 15 secondi.Default: probe interval - 15 secs. Esclusione dalla rotazione: 2 errori ripetuti.Taken out of rotation: 2 Continuous failures. Supporta le probe definite dall'utenteSupports user-defined probes Inattivo: intervallo di probe - 30 secondi.Idle probe interval 30 secs. Esclusione dopo 5 errori consecutivi di traffico live o un errore di probe singolo in modalità di inattività.Taken out after 5 consecutive live traffic failures or a single probe failure in idle mode. Supporta le probe definite dall'utenteSupports user-defined probes
Offload SSLSSL offloading Non supportateNot supported SupportatoSupported
Routing basato su URLUrl-based routing Non supportateNot supported SupportatoSupported
Criteri SSLSSL Policy Non supportateNot supported SupportatoSupported

Istanze e dimensioni del gatewayGateway sizes and instances

Il servizio Gateway applicazione è attualmente disponibile in tre dimensioni: Small, Medium e Large.Application Gateway is currently offered in three sizes: Small, Medium, and Large. Le dimensioni delle istanze piccole sono destinate a scenari di sviluppo e test.Small instance sizes are intended for development and testing scenarios.

È possibile creare fino a 50 gateway applicazione per sottoscrizione e ogni gateway applicazione può includere fino a 10 istanze.You can create up to 50 application gateways per subscription, and each application gateway can have up to 10 instances each. Ogni gateway applicazione può essere costituito da 20 listener HTTP.Each application gateway can consist of 20 http listeners. Per un elenco completo dei limiti del gateway applicazione, vedere i limiti del servizio Gateway applicazione.For a complete list of application gateway limits, see Application Gateway service limits.

La tabella seguente illustra una velocità effettiva media delle prestazioni per ogni istanza del gateway applicazione con offload SSL abilitato:The following table shows an average performance throughput for each application gateway instance with SSL offload enabled:

Risposta della pagina di back-endBack-end page response SmallSmall MediaMedium LargeLarge
6K6K 7,5 Mbps7.5 Mbps 13 Mbps13 Mbps 50 Mbps50 Mbps
100.000100K 35 Mbps35 Mbps 100 Mbps100 Mbps 200 Mbps200 Mbps

Nota

Questi valori sono indicazioni approssimative della velocità effettiva di un gateway applicazione.These values are approximate values for an application gateway throughput. La velocità effettiva dipende da vari dettagli ambientali come le dimensioni medie delle pagine, la posizione delle istanze back-end e il tempo di elaborazione per gestire una pagina.The actual throughput depends on various environment details, such as average page size, location of back-end instances, and processing time to serve a page. Per dati esatti sulle prestazioni, è consigliabile eseguire propri test.For exact performance numbers, you should run your own tests. Questi valori vengono forniti solo come indicazioni per la pianificazione della capacità.These values are only provided for capacity planning guidance.

Monitoraggio dell’integritàHealth monitoring

Il gateway applicazione di Azure monitora automaticamente l'integrità delle istanze back-end tramite probe di integrità di base o personalizzati.Azure Application Gateway automatically monitors the health of the back-end instances through basic or custom health probes. L'uso di probe di integrità garantisce che al traffico rispondano solo host integri.By using health probes, it ensures that only healthy hosts respond to traffic. Per altre informazioni, vedere Panoramica del monitoraggio dell'integrità del gateway applicazione.For more information, see Application Gateway health monitoring overview.

Configurazione e gestioneConfiguring and managing

Quando viene configurato, il gateway applicazione può usare per l'endpoint un IP pubblico, un IP privato o entrambi.For its endpoint, application gateway can have a public IP, private IP, or both when it is configured. Il gateway applicazione viene configurato in una propria subnet all'interno di una rete virtuale.Application Gateway is configured inside a virtual network in its own subnet. La subnet creata o usata per il gateway applicazione non può contenere altri tipi di risorse. Le uniche risorse consentite nella subnet sono altri gateway applicazione.The subnet created or used for application gateway cannot contain any other types of resources, the only resources that are allowed in the subnet are other application gateways. Per proteggere le risorse di back-end, i server back-end possono essere contenuti in una subnet diversa nella stessa rete virtuale del gateway applicazione.To secure your backend resources, the backend servers can be contained within a different subnet in the same virtual network as the application gateway. Questa subnet non è necessaria per le applicazioni back-end.This subnet is not required for the backend applications. Se può raggiungere l'indirizzo IP, il gateway applicazione può garantire funzionalità ADC per i server back-end.As long as the application gateway can reach the ip address, application gateway is able to provide ADC capabilities for the backend servers.

È possibile creare e gestire un gateway applicazione usando API REST, cmdlet di PowerShell, l'interfaccia della riga di comando di Azure o il portale di Azure.You can create and manage an application gateway by using REST APIs, PowerShell cmdlets, Azure CLI, or Azure portal. Per altre domande sul gateway applicazione, vedere l'elenco contenuto in Domande frequenti sul gateway applicazione.For additional questions on Application gateway visit Application Gateway FAQ to view a list of common frequently asked questions.

PrezziPricing

I prezzi sono basati su una tariffa oraria per istanza del gateway e una tariffa di elaborazione dei dati.Pricing is based on per hour gateway instance charge and data processing charge. I prezzi orari del gateway per lo SKU WAF sono diversi dalle tariffe dello SKU standard.Per hour gateway pricing for the WAF SKU is different from Standard SKU charges. Per informazioni sui prezzi, vedere i dettagli sui prezzi del gateway applicazione.This pricing information can be found at Application Gateway pricing details. Le tariffe di elaborazione dei dati rimangono invariate.Data processing charges remain the same.

domande frequentiFAQ

Per le domande frequenti sul gateway applicazione, vedere Domande frequenti sul gateway applicazione.For frequently asked questions about Application Gateway, see Application Gateway FAQ.

Passaggi successiviNext steps

Dopo aver acquisito familiarità con il gateway applicazione, è possibile creare un gateway applicazione oppure configurare un gateway applicazione per l'offload SSL per bilanciare il carico delle connessioni HTTPS.After learning about Application gateway, you can create an application gateway or you can create an application gateway SSL offload to load-balance HTTPS connections.

Per informazioni su come creare un gateway applicazione usando il routing del contenuto basato su URL, vedere Creare un gateway applicazione con il routing basato su URL .To learn how to create an application gateway using URL-based content routing, go to Create an application gateway using URL-based routing for more information.

Per informazioni su alcune altre funzionalità di rete chiave di Azure, vedere Rete di Azure.To learn about some of the other key networking capabilities of Azure, see Azure Networking.