Funzionalità del gateway applicazione AzureAzure Application Gateway features

Il gateway applicazione di Azure è un servizio di bilanciamento del carico del traffico Web che consente di gestire il traffico verso le applicazioni Web.Azure Application Gateway is a web traffic load balancer that enables you to manage traffic to your web applications.

Concetti relativi al gateway applicazione

Il gateway applicazione include le funzionalità seguenti:Application Gateway includes the following features:

Terminazione Secure Sockets Layer (SSL/TLS)Secure Sockets Layer (SSL/TLS) termination

Il gateway applicazione supporta la terminazione SSL/TLS nel gateway, dopo la quale il traffico scorre generalmente non crittografato verso i server back-end.Application gateway supports SSL/TLS termination at the gateway, after which traffic typically flows unencrypted to the backend servers. Questa funzionalità consente ai server Web di non gestire il costoso carico di crittografia e decrittografia.This feature allows web servers to be unburdened from costly encryption and decryption overhead. Tuttavia, a volte le comunicazioni non crittografate con i server non sono un'opzione accettabile.But sometimes unencrypted communication to the servers isn't an acceptable option. Questo può dipendere dai requisiti di sicurezza e conformità o dal fatto che l'applicazione può accettare solo connessioni sicure.This can be because of security requirements, compliance requirements, or the application may only accept a secure connection. Per queste applicazioni, il gateway applicazione supporta la crittografia SSL/TLS end-to-end.For these applications, application gateway supports end to end SSL/TLS encryption.

Per altre informazioni, vedere Panoramica della terminazione SSL e del protocollo SSL end-to-end con il gateway applicazioneFor more information, see Overview of SSL termination and end to end SSL with Application Gateway

Scalabilità automaticaAutoscaling

Il Standard_v2 del gateway applicazione supporta la scalabilità automatica e può aumentare o ridurre le prestazioni in base alla modifica di modelli di carico del traffico.Application Gateway Standard_v2 supports autoscaling and can scale up or down based on changing traffic load patterns. La scalabilità automatica elimina anche la necessità di scegliere un numero di istanze o le dimensioni della distribuzione durante il provisioning.Autoscaling also removes the requirement to choose a deployment size or instance count during provisioning.

Per altre informazioni sul gateway applicazione Standard_v2 funzionalità, vedere la pagina relativa alla scalabilità automatica V2.For more information about the Application Gateway Standard_v2 features, see Autoscaling v2 SKU.

Ridondanza della zonaZone redundancy

Un gateway applicazione Standard_v2 può estendersi su più zone di disponibilità, offrendo una migliore resilienza degli errori e rimuovendo la necessità di effettuare il provisioning di gateway applicazione distinti in ogni zona.A Standard_v2 Application Gateway can span multiple Availability Zones, offering better fault resiliency and removing the need to provision separate Application Gateways in each zone.

Indirizzo VIP staticoStatic VIP

Il gateway applicazione Standard_v2 SKU supporta esclusivamente il tipo di indirizzo VIP statico.The application gateway Standard_v2 SKU supports static VIP type exclusively. Questa funzionalità garantisce che l'indirizzo VIP associato al gateway applicazione non cambi nel corso del ciclo di vita del gateway applicazione.This ensures that the VIP associated with application gateway doesn't change even over the lifetime of the Application Gateway.

Web application firewallWeb Application Firewall

Web Application Firewall (WAF) è un servizio che offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni.Web Application Firewall (WAF) is a service that provides centralized protection of your web applications from common exploits and vulnerabilities. WAF si basa su regole dei set di regole principali OWASP (Open Web Application Security Project) 3.1 (solo WAF_v2), 3.0 e 2.2.9.WAF is based on rules from the OWASP (Open Web Application Security Project) core rule sets 3.1 (WAF_v2 only), 3.0, and 2.2.9.

Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni vulnerabilità note.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Per citarne alcuni, tra i più comuni troviamo gli attacchi SQL injection e gli attacchi di scripting intersito.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Impedire questo tipo di attacchi nel codice dell'applicazione può essere un'operazione complessa e potrebbe richiedere una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at many layers of the application topology. Un Web application firewall centralizzato semplifica notevolmente la gestione della sicurezza e offre agli amministratori delle applicazioni migliori garanzie contro le minacce o le intrusioni.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Una soluzione WAF è anche in grado di reagire più velocemente a una minaccia alla sicurezza tramite l'applicazione di patch su una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione Web.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. È possibile convertire facilmente i gateway applicazione esistenti in un gateway applicazione abilitato per il Web Application Firewall.Existing application gateways can be converted to a Web Application Firewall enabled application gateway easily.

Per altre informazioni, vedere Che cos'è Azure Web Application Firewall?.For more information, see What is Azure Web Application Firewall?.

Controller di ingresso per il servizio Azure KubernetesIngress Controller for AKS

Il controller di ingresso del gateway applicazione consente di usare il gateway applicazione come ingresso per un cluster del servizio Azure Kubernetes.Application Gateway Ingress Controller (AGIC) allows you to use Application Gateway as the ingress for an Azure Kubernetes Service (AKS) cluster.

Il controller di ingresso viene eseguito come Pod nel cluster AKS e USA le risorse di ingresso Kubernetes e le converte in una configurazione del gateway applicazione, che consente al gateway di bilanciare il carico del traffico ai pod Kubernetes.The ingress controller runs as a pod within the AKS cluster and consumes Kubernetes Ingress Resources and converts them to an Application Gateway configuration, which allows the gateway to load-balance traffic to the Kubernetes pods. Il controller di ingresso supporta solo gli SKU gateway applicazione Standard_v2 e WAF_v2.The ingress controller only supports Application Gateway Standard_v2 and WAF_v2 SKUs.

Per altre informazioni, vedere Controller di ingresso del gateway applicazione di Azure.For more information, see Application Gateway Ingress Controller (AGIC).

Routing basato su URLURL-based routing

Il routing basato su percorso URL consente di instradare il traffico a pool di server back-end in base ai percorsi URL della richiesta.URL Path Based Routing allows you to route traffic to back-end server pools based on URL Paths of the request. Uno degli scenari è il rounting delle richieste di tipi di contenuto diversi a pool diversi.One of the scenarios is to route requests for different content types to different pool.

Ad esempio, per le richieste http://contoso.com/video/* viene eseguito il rounting verso VideoServerPool mentre per le richieste http://contoso.com/images/* viene eseguito il rounting verso ImageServerPool.For example, requests for http://contoso.com/video/* are routed to VideoServerPool, and http://contoso.com/images/* are routed to ImageServerPool. In caso di mancata corrispondenza dei percorsi, viene selezionato DefaultServerPool.DefaultServerPool is selected if none of the path patterns match.

Per altre informazioni, vedere Panoramica del routing basato sul percorso URL.For more information, see URL Path Based Routing overview.

Hosting di più sitiMultiple-site hosting

Con il gateway applicazione, è possibile configurare il routing in base al nome host o al nome di dominio per più di un'applicazione Web nello stesso gateway applicazione.With Application Gateway, you can configure routing based on host name or domain name for more than one web application on the same application gateway. Consente di configurare una topologia più efficiente per le distribuzioni aggiungendo fino a più di 100 siti Web a un unico gateway applicazione.It allows you to configure a more efficient topology for your deployments by adding up to 100+ websites to one application gateway. Ogni sito Web può essere indirizzato al proprio pool back-end.Each website can be directed to its own backend pool. Ad esempio, tre domini, contoso.com, fabrikam.com e adatum.com, puntano all'indirizzo IP del gateway applicazione.For example, three domains, contoso.com, fabrikam.com, and adatum.com, point to the IP address of the application gateway. Si creeranno tre listener multisito e si configurerà ogni listener per la rispettiva impostazione della porta e del protocollo.You'd create three multi-site listeners and configure each listener for the respective port and protocol setting.

Le richieste per http://contoso.com vengono indirizzate a ContosoServerPool, http://fabrikam.com vengono instradate a FabrikamServerPool e così via.Requests for http://contoso.com are routed to ContosoServerPool, http://fabrikam.com are routed to FabrikamServerPool, and so on.

Analogamente, la stessa distribuzione del gateway applicazione può ospitare due sottodomini dello stesso dominio padre.Similarly, two subdomains of the same parent domain can be hosted on the same application gateway deployment. Gli esempi di uso di sottodomini possono includere http://blog.contoso.com e http://app.contoso.com ospitati in una singola distribuzione del gateway applicazione.Examples of using subdomains could include http://blog.contoso.com and http://app.contoso.com hosted on a single application gateway deployment. Per altre informazioni, vedere hosting di più siti nel gateway applicazione.For more information, see Application Gateway multiple site hosting.

È anche possibile definire nomi host con caratteri jolly in un listener multisito e fino a cinque nomi host per ogni listener.You can also define wildcard host names in a multi-site listener and up to 5 host names per listener. Per altre informazioni, vedere nomi host con caratteri jolly nel listener (anteprima).To learn more, see wildcard host names in listener (preview).

ReindirizzamentoRedirection

Uno scenario comune per molte applicazioni Web è il supporto del reindirizzamento automatico da HTTP a HTTPS per assicurare che tutte le comunicazioni tra l'applicazione e gli utenti avvengano tramite un percorso crittografato.A common scenario for many web applications is to support automatic HTTP to HTTPS redirection to ensure all communication between an application and its users occurs over an encrypted path.

È possibile che in passato siano state usate tecniche come la creazione di un pool dedicato il cui unico scopo è quello di reindirizzare le richieste ricevute su HTTP ad HTTPS.In the past, you may have used techniques such as dedicated pool creation whose sole purpose is to redirect requests it receives on HTTP to HTTPS. Il gateway applicazione consente di reindirizzare il traffico sul gateway applicazione.Application gateway supports the ability to redirect traffic on the Application Gateway. Questo semplifica la configurazione delle applicazioni, ottimizza l'utilizzo delle risorse e supporta i nuovi scenari di reindirizzamento, tra cui il reindirizzamento globale e basato sul percorso.This simplifies application configuration, optimizes the resource usage, and supports new redirection scenarios, including global and path-based redirection. Il supporto del reindirizzamento nel gateway applicazione non è limitato al solo reindirizzamento da HTTP ad HTTPS.Application Gateway redirection support isn't limited to HTTP to HTTPS redirection alone. Si tratta di un meccanismo di reindirizzamento generico che consente di eseguire il reindirizzamento da e verso qualsiasi porta definita mediante regole.This is a generic redirection mechanism, so you can redirect from and to any port you define using rules. Supporta anche il reindirizzamento a un sito esterno.It also supports redirection to an external site as well.

Il supporto del reindirizzamento nel gateway applicazione offre le funzionalità seguenti:Application Gateway redirection support offers the following capabilities:

  • Reindirizzamento globale da una porta a un'altra porta nel gateway.Global redirection from one port to another port on the Gateway. che consente il reindirizzamento da HTTP a HTTPS in un sito.This enables HTTP to HTTPS redirection on a site.
  • Reindirizzamento basato sul percorso.Path-based redirection. Questo tipo di reindirizzamento consente il reindirizzamento da HTTP a HTTPS solo in un'area specifica del sito, ad esempio l'area del carrello acquisti indicata da /cart/*.This type of redirection enables HTTP to HTTPS redirection only on a specific site area, for example a shopping cart area denoted by /cart/*.
  • Reindirizzamento a un sito esterno.Redirect to an external site.

Per altre informazioni, vedere Panoramica del reindirizzamento del gateway applicazione.For more information, see Application Gateway redirect overview.

Affinità di sessioneSession affinity

L'affinità di sessione basata su cookie è utile quando si vuole mantenere una sessione utente nello stesso server.The cookie-based session affinity feature is useful when you want to keep a user session on the same server. Usando cookie gestiti dal gateway, il gateway applicazione può indirizzare il traffico successivo proveniente da una sessione utente allo stesso server per l'elaborazione.By using gateway-managed cookies, the Application Gateway can direct subsequent traffic from a user session to the same server for processing. Questo è importante nei casi in cui lo stato della sessione viene salvato in locale sul server per una sessione utente.This is important in cases where session state is saved locally on the server for a user session.

Per altre informazioni, vedere funzionamento di un gateway applicazione.For more information, see How an application gateway works.

Traffico Websocket e HTTP/2Websocket and HTTP/2 traffic

Il gateway applicazione offre il supporto nativo per i protocolli WebSocket e HTTP/2.Application Gateway provides native support for the WebSocket and HTTP/2 protocols. Non esistono impostazioni configurabili dall'utente per abilitare o disabilitare in modo selettivo il supporto di WebSocket.There's no user-configurable setting to selectively enable or disable WebSocket support.

I protocolli WebSocket HTTP/2 consentono una comunicazione full duplex tra un server e un client su una connessione TCP con esecuzione prolungata.The WebSocket and HTTP/2 protocols enable full duplex communication between a server and a client over a long running TCP connection. Questo consente una comunicazione più interattiva tra il server Web e il client che può essere bidirezionale senza necessità di polling che invece è richiesto nelle implementazioni basate su HTTP.This allows for a more interactive communication between the web server and the client, which can be bidirectional without the need for polling as required in HTTP-based implementations. Questi protocolli presentano un sovraccarico ridotto, a differenza di HTTP, e possono riutilizzare la stessa connessione TCP per più richieste/risposte, causando un utilizzo più efficiente delle risorse.These protocols have low overhead, unlike HTTP, and can reuse the same TCP connection for multiple request/responses resulting in a more efficient resource utilization. Questi protocolli sono progettati per usare le porte HTTP 80 e 443 tradizionali.These protocols are designed to work over traditional HTTP ports of 80 and 443.

Per altre informazioni, vedere Supporto per WebSocket e supporto per HTTP/2.For more information, see WebSocket support and HTTP/2 support.

Esaurimento delle connessioniConnection draining

Lo svuotamento delle connessioni aiuta a rimuovere in modo controllato i membri del pool back-end durante gli aggiornamenti pianificati del servizio.Connection draining helps you achieve graceful removal of backend pool members during planned service updates. Questa modalità viene abilitata tramite l'impostazione http back-end e può essere applicata a tutti i membri di un pool back-end durante la creazione delle regole.This setting is enabled via the backend http setting and can be applied to all members of a backend pool during rule creation. Dopo l'abilitazione, il gateway applicazione assicura che tutte le istanze di annullamento della registrazione di un pool back-end non ricevano alcuna nuova richiesta, consentendo al tempo stesso di completare le richieste esistenti entro un limite di tempoOnce enabled, Application Gateway ensures all deregistering instances of a backend pool don't receive any new request while allowing existing requests to complete within a configured time limit. Questo vale sia per le istanze back-end che vengono rimosse dal pool back-end in modo esplicito mediante una modifica di configurazione dell'utente, sia per le istanze back-end che vengono segnalate come non integre, come determinato dai probe di integrità.This applies to both backend instances that are explicitly removed from the backend pool by a user configuration change, and backend instances that are reported as unhealthy as determined by the health probes. L'unica eccezione è costituita dalle richieste associate per l'annullamento della registrazione delle istanze, che sono state annullate in modo esplicito a causa dell'affinità di sessione gestita dal gateway e continuano a essere inviate tramite proxy alle istanze di annullamento della registrazione.The only exception to this are requests bound for deregistering instances, which have been deregistered explicitly, because of gateway-managed session affinity and continues to be proxied to the deregistering instances.

Per altre informazioni, vedere Panoramica della configurazione del gateway applicazione.For more information, see Application Gateway Configuration Overview.

Pagine di errore personalizzateCustom error pages

Il gateway applicazione consente di creare pagine di errore personalizzate da visualizzare al posto delle pagine di errore predefinite.Application Gateway allows you to create custom error pages instead of displaying default error pages. Con una pagina di errore personalizzata è possibile usare il layout e il marchio aziendali.You can use your own branding and layout using a custom error page.

Per altre informazioni, vedere Errori personalizzati.For more information, see Custom Errors.

Riscrivere l'URL e le intestazioni HTTPRewrite HTTP headers and URL

Le intestazioni HTTP consentono al client e al server di passare informazioni aggiuntive insieme alla richiesta o alla risposta.HTTP headers allow the client and server to pass additional information with the request or the response. La riscrittura delle intestazioni HTTP consente di affrontare diversi scenari importanti, ad esempio:Rewriting these HTTP headers helps you accomplish several important scenarios, such as:

  • Aggiunta di campi di intestazione relativi alla sicurezza come HSTS/X-XSS-Protection.Adding security-related header fields like HSTS/ X-XSS-Protection.
  • Rimozione di campi di intestazione della risposta che possono rivelare informazioni riservate.Removing response header fields that can reveal sensitive information.
  • Rimozione delle informazioni sulle porte dalle intestazioni X-Forwarded-For.Stripping port information from X-Forwarded-For headers.

Il gateway applicazione e lo SKU WAF v2 supportano la possibilità di aggiungere, rimuovere o aggiornare le intestazioni di richieste e risposte HTTP durante lo spostamento dei pacchetti di richiesta e risposta tra il client e i pool back-end.Application Gateway and WAF v2 SKU supports the capability to add, remove, or update HTTP request and response headers, while the request and response packets move between the client and back-end pools. È anche possibile riscrivere gli URL, i parametri della stringa di query e il nome host.You can also rewrite URLs, query string parameters and host name. Con la riscrittura dell'URL e il routing basato sul percorso URL, è possibile scegliere di indirizzare le richieste a uno dei pool back-end in base al percorso originale o al percorso riscritto, usando l'opzione Rivaluta mappa percorso.With URL rewrite and URL path-based routing, you can choose to either route requests to one of the backend pools based on the original path or the rewritten path, using the re-evaluate path map option.

Consente anche di aggiungere le condizioni necessarie per garantire che le intestazioni specificate o l'URL vengono riscritti solo in presenza di determinate condizioni.It also provides you with the capability to add conditions to ensure the specified headers or URL are rewritten only when certain conditions are met. Queste condizioni sono basate sulle informazioni della richiesta e della risposta.These conditions are based on the request and response information.

Per altre informazioni, vedere riscrivere le intestazioni HTTP e l'URL.For more information, see Rewrite HTTP headers and URL.

RidimensionamentoSizing

Il Standard_v2 del gateway applicazione può essere configurato per la scalabilità automatica o per le distribuzioni a dimensione fissa.Application Gateway Standard_v2 can be configured for autoscaling or fixed size deployments. Lo SKU V2 non offre dimensioni diverse per le istanze.The v2 SKU doesn't offer different instance sizes. Per altre informazioni sulle prestazioni e sui prezzi di V2, vedere scalabilità automatica V2 e informazioni sui prezzi.For more information on v2 performance and pricing, see Autoscaling V2 and Understanding pricing.

Il gateway applicazione standard (V1) viene offerto in tre dimensioni: small, medium e large.The Application Gateway Standard (v1) is offered in three sizes: Small, Medium, and Large. Le dimensioni delle istanze piccole sono destinate a scenari di sviluppo e test.Small instance sizes are intended for development and testing scenarios.

Per un elenco completo dei limiti del gateway applicazione, vedere i limiti del servizio Gateway applicazione.For a complete list of application gateway limits, see Application Gateway service limits.

La tabella seguente illustra una velocità effettiva media delle prestazioni per ogni istanza del gateway applicazione v1 con offload SSL abilitato:The following table shows an average performance throughput for each application gateway v1 instance with SSL offload enabled:

Dimensioni medie risposta della pagina di back-endAverage back-end page response size PiccolaSmall MedioMedium GrandeLarge
6 KB6 KB 7,5 Mbps7.5 Mbps 13 Mbps13 Mbps 50 Mbps50 Mbps
100 kB100 KB 35 Mbps35 Mbps 100 Mbps100 Mbps 200 Mbps200 Mbps

Nota

Questi valori sono indicazioni approssimative della velocità effettiva di un gateway applicazione.These values are approximate values for an application gateway throughput. La velocità effettiva dipende da vari dettagli ambientali come le dimensioni medie delle pagine, la posizione delle istanze back-end e il tempo di elaborazione per gestire una pagina.The actual throughput depends on various environment details, such as average page size, location of back-end instances, and processing time to serve a page. Per dati esatti sulle prestazioni, è consigliabile eseguire propri test.For exact performance numbers, you should run your own tests. Questi valori vengono forniti solo come indicazioni per la pianificazione della capacità.These values are only provided for capacity planning guidance.

Confronto delle funzionalità della versioneVersion feature comparison

Per un confronto tra le funzionalità del gateway applicazione V1-V2, vedere scalabilità automatica e gateway applicazione con ridondanza della zona V2For an Application Gateway v1-v2 feature comparison, see Autoscaling and Zone-redundant Application Gateway v2

Passaggi successiviNext steps