Azure Application Gateway functies
Azure Application Gateway is een webverkeersserver load balancer waarmee u verkeer naar uw webtoepassingen kunt beheren.
Application Gateway bevat de volgende functies:
- Secure Sockets Layer (SSL/TLS) beëindigen
- Automatisch schalen
- Zoneredundantie
- Statisch VIP
- Web Application Firewall
- Controller van inkomend verkeer voor AKS
- URL-gebaseerde routering
- Hosting van meerdere sites
- Omleiding
- Sessie-affiniteit
- Websocket- en HTTP-/2-verkeer
- Verwerkingsstop voor verbindingen
- Aangepaste foutpagina's
- HTTP-headers en URL opnieuw schrijven
- Grootte aanpassen
Secure Sockets Layer (SSL/TLS) beëindigen
Application Gateway ondersteunt SSL/TLS-beëindiging op de gateway, waarna het verkeer doorgaans niet-versleuteld naar de back-endservers stroomt. Met deze functie voorkomt u prijzige overhead voor het versleutelen en ontsleutelen voor uw webservers. Maar soms is niet-versleutelde communicatie met de servers geen acceptabele optie. Dit kan komen door beveiligingsvereisten, nalevingsvereisten of de toepassing kan alleen een beveiligde verbinding accepteren. Voor deze toepassingen ondersteunt Application Gateway end-to-end SSL/TLS-versleuteling.
Zie Overzicht van SSL-beëindiging en end-to-end SSL met Application Gateway
Automatisch schalen
Application Gateway Standard_v2 biedt ondersteuning voor automatisch schalen en kan omhoog of omlaag worden geschaald op basis van veranderende verkeersbelastingspatronen. Automatisch schalen heft ook de vereiste op om tijdens het inrichten een implementatiegrootte of het aantal instanties te kiezen.
Zie Autoscaling v2 SKU (Automatisch schalen v2 SKU)voor meer informatie over de Application Gateway Standard_v2 functies.
Zoneredundantie
Een Standard_v2 Application Gateway kan meerdere Beschikbaarheidszones, waardoor fout resiliency beter wordt en de noodzaak om afzonderlijke Application Gateways in terichten in elke zone wordt verwijderd.
Statisch VIP
De toepassingsgateway Standard_v2 SKU ondersteunt exclusief statisch VIP-type. Dit zorgt ervoor dat het VIP dat is gekoppeld aan de toepassingsgateway niet verandert, zelfs niet tijdens de levensduur van de Application Gateway.
Web Application Firewall
Web Application Firewall (WAF) is een service die gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen biedt. WAF is gebaseerd op regels van de kernregelsets 3.1 (alleen WAF_v2), 3.0 en 2.2.9 van OWASP (Open Web Application Security Project).
Webtoepassingen zijn in toenemende mate het doel van aanvallen die gebruikmaken van veelvoorkomende bekende beveiligingsproblemen. Veelvoorkomende aanvallen zijn hierbij onder andere aanvallen met SQL-injecties en aanvallen via scripting op meerdere sites. Het kan een hele uitdaging zijn om dergelijke aanvallen in toepassingscode te voorkomen en dit kan tevens veel onderhoud, patching en controle vereisen op meerdere lagen van de toepassingstopologie. Een gecentraliseerde firewall voor webtoepassingen maakt het beveiligingsbeheer veel eenvoudiger en biedt toepassingsbeheerders meer veiligheid tegen bedreigingen of aanvallen. Een WAF-oplossing kan ook sneller reageren op een beveiligingsrisico door een patch voor een bekend beveiligingsprobleem toe te passen op een centrale locatie in plaats van elke afzonderlijke webtoepassing te beveiligen. Bestaande toepassingsgateways kunnen eenvoudig worden geconverteerd naar Web Application Firewall ingeschakelde toepassingsgateway.
Zie Wat is Azure Web Application Firewall? voor meer informatie.
Controller van inkomend verkeer voor AKS
Application Gateway Ingress Controller (AGIC) kunt u Application Gateway gebruiken als het toegangspunt voor een Azure Kubernetes Service -cluster (AKS).
De ingangscontroller wordt uitgevoerd als een pod binnen het AKS-cluster en verbruikt Kubernetes-ingangsbronnen en converteert deze naar een Application Gateway-configuratie, waarmee de gateway verkeer kan laden naar de Kubernetes-pods. De controller voor ingress ondersteunt alleen Application Gateway Standard_v2 en WAF_v2 SKU's.
Zie Application Gateway Ingress Controller (AGIC) voor meer informatie.
URL-gebaseerde routering
Met op URL-pad gebaseerde routering kunt u verkeer routeren naar back-endserverpools die zijn gebaseerd op de URL-paden van de aanvraag. Een van de scenario's is het routeren van aanvragen voor verschillende inhoudstypen naar een andere pool.
Aanvragen voor http://contoso.com/video/* worden bijvoorbeeld doorgestuurd naar VideoServerPool en aanvragen voor http://contoso.com/images/* worden doorgestuurd naar ImageServerPool. Als geen van de padpatronen overeenkomen, wordt DefaultServerPool geselecteerd.
Zie Url Path Based Routing overview (Overzicht van routering op basis van URL-pad) voor meer informatie.
Hosting van meerdere sites
Met Application Gateway kunt u routering configureren op basis van de hostnaam of domeinnaam voor meer dan één webtoepassing op dezelfde toepassingsgateway. Dit stelt u in staat om een efficiëntere topologie voor uw implementaties te configureren door maximaal 100 websites toe te voegen aan één toepassingsgateway. Elke website kan worden omgeleid naar een eigen back-endpool. Drie domeinen - contoso.com, fabrikam.com en adatum.com - wijzen bijvoorbeeld naar het IP-adres van de toepassingsgateway. U maakt dat drie listeners voor meerdere sites, en configureert elke listener voor de respectieve poort en protocolinstelling.
Aanvragen voor http://contoso.com worden doorgeleid naar ContosoServerPool, worden http://fabrikam.com doorgeleid naar FabrikamServerPool, en meer.
Op dezelfde manier kunnen twee subdomeinen van hetzelfde bovenliggende domein worden gehost op dezelfde implementatie van een toepassingsgateway. Voorbeelden van subdomeinen die worden gehost op één toepassingsgateway-implementatie, zijn http://blog.contoso.com en http://app.contoso.com. Zie meerdere Application Gateway site hosten voor meer informatie.
U kunt ook hostnamen met jokertekens definiëren in een listener voor meerdere sites (maximaal vijf hostnamen per listener). Zie hostnamen met jokertekens inlistener voor meer informatie.
Omleiding
Een veelvoorkomend scenario voor veel webtoepassingen is de ondersteuning van automatische HTTP-naar-HTTPS-omleiding zodat alle communicatie tussen een toepassing en gebruikers plaatsvindt via een versleuteld pad.
In het verleden hebt u mogelijk technieken gebruikt zoals het maken van toegewezen pools, waarvan het enige doel is om aanvragen die op HTTP worden ontvangen, om te leiden naar HTTPS. Application Gateway ondersteunt het omleiden van verkeer op de Application Gateway. Dit vereenvoudigt de configuratie van toepassingen, optimaliseert het resourcegebruik en biedt ondersteuning voor nieuwe omleidingsscenario's, waaronder de globale en op pad gebaseerde omleidingen. Application Gateway ondersteuning voor omleiding is niet beperkt tot http-naar-HTTPS-omleiding alleen. Dit is een algemeen omleidingsmechanisme, zodat u op basis van regels kunt omleiden van en naar elke poort die u gebruikt. Ook omleiding naar een externe site wordt ondersteund.
Ondersteuning voor Application Gateway-omleiding biedt de volgende mogelijkheden:
- Globale omleiding van de ene poort naar de andere poort op de Gateway. Hierdoor is HTTP-naar-HTTPS-omleiding op een site mogelijk.
- Padgebaseerde omleiding. Dit type omleiding maakt HTTP-naar-HTTPS-omleiding alleen mogelijk op een specifiek sitegebied, bijvoorbeeld een winkelwagengebied aangegeven door
/cart/*. - Omleiden naar een externe site.
Zie overzicht van omleiding Application Gateway meer informatie.
Sessieaffiniteit
De functie Sessieaffiniteit op basis van cookies is handig als u een gebruikerssessie op dezelfde server wilt behouden. Met behulp van de gatewaybeheerde cookies kan de Application Gateway het daarop volgende verkeer van een gebruikerssessie naar dezelfde server leiden voor verwerking. Dit is belangrijk wanneer de sessiestatus lokaal wordt opgeslagen op de server voor een gebruikerssessie.
Zie Hoe een toepassingsgateway werkt voor meer informatie.
Websocket- en HTTP-/2-verkeer
Application Gateway biedt systeemeigen ondersteuning voor de WebSocket- en HTTP-/2-protocollen. Er is geen door de gebruiker configureerbare instelling om selectief WebSocket-ondersteuning in of uit te schakelen.
De WebSocket- en HTTP-/2-protocollen maken full-duplex-communicatie tussen een server en een client mogelijk via een langdurige TCP-verbinding. Dit maakt een meer interactieve communicatie mogelijk tussen de webserver en de client, die bidirectioneel kan zijn zonder dat hiervoor polling nodig is, zoals vereist in implementaties op basis van HTTP. Deze protocollen hebben weinig overhead, in tegenstelling tot HTTP, en kunnen dezelfde TCP-verbinding hergebruiken voor meerdere aanvragen/antwoorden, wat resulteert in een efficiënter resourcegebruik. Deze protocollen zijn ontworpen om te werken via de traditionele HTTP-poorten: 80 en 443.
Zie Ondersteuning voor WebSocket en HTTP/2-ondersteuningvoor meer informatie.
Verwerkingsstop voor verbindingen
Verwerkingsstop voor verbindingen helpt u om back-endgroepsleden zonder problemen te verwijderen tijdens geplande service-updates. Deze instelling wordt ingeschakeld via de HTTP-instelling van de back-end en kan tijdens het maken van de regel worden toegepast op alle leden van een back-endgroep. Zodra deze is ingeschakeld, Application Gateway ervoor dat alle instanties die de registratie van een back-endpool ongedaan maken, geen nieuwe aanvraag ontvangen terwijl bestaande aanvragen binnen een geconfigureerde tijdslimiet kunnen worden voltooid. Dit geldt voor zowel back-end-exemplaren die expliciet uit de back-endpool worden verwijderd door een wijziging in de gebruikersconfiguratie, als back-exemplaren die worden gerapporteerd als beschadigd, zoals wordt bepaald door de statustests. De enige uitzondering hierop zijn aanvragen die zijn gebonden voor het ongedaan maken van de registratie van exemplaren, die expliciet zijn gederegistreerd vanwege door de gateway beheerde sessie-affiniteit en nog steeds worden geproxied naar de exemplaren die de registratie ongedaan maken.
Zie configuratieoverzicht voor Application Gateway meer informatie.
Aangepaste foutpagina's
Met Application Gateway kunt u aangepaste foutpagina's maken in plaats van standaardfoutpagina's weer te geven. U kunt uw eigen huisstijl en lay-out hanteren door een aangepaste foutpagina te gebruiken.
Zie Aangepaste fouten voor meer informatie.
HTTP-headers en URL opnieuw schrijven
Met HTTP-headers kunnen de client en de server aanvullende informatie doorgeven met de aanvraag of het antwoord. Door deze HTTP-headers te herschrijven, kunt u verschillende belangrijke scenario's uitvoeren, zoals:
- Beveiligingsgerelateerde headervelden toevoegen, zoals HSTS/X-XSS-Protection.
- Het verwijderen van antwoordheadervelden die gevoelige informatie kunnen weergeven.
- Poortgegevens van X-Forwarded-For-headers strippen.
Application Gateway en WAF v2 SKU ondersteunen het toevoegen, verwijderen of bijwerken van headers van HTTP-aanvragen en -antwoorden, terwijl aanvraag- en antwoordpakketten zich tussen de client en back-endpools verplaatsen. U kunt ook URL's, parameters voor querytekenreeksen en de hostnaam herschrijven. Dankzij het herschrijven van URL'S en op paden gebaseerde URL-routering kunt u aanvragen routeren naar een van de back-endpools op basis van het oorspronkelijke pad of naar het herschrijfbare pad met behulp van de optie waarmee het pad opnieuw wordt geëvalueerd.
Het biedt ook de mogelijkheid om voorwaarden toe te voegen om ervoor te zorgen dat de opgegeven headers of URL alleen worden herschreven wanneer aan bepaalde voorwaarden is voldaan. Deze voorwaarden zijn gebaseerd op de informatie in de aanvraag en het antwoord.
Zie HTTP-headers en URL herschrijven voor meer informatie.
Grootte aanpassen
Application Gateway Standard_v2 kunnen worden geconfigureerd voor implementaties met automatische schalen of implementaties met een vaste grootte. De v2-SKU biedt geen verschillende instantiegrootten. Zie Autoscaling V2 (Automatisch schalen V2) en Understanding pricing (Prijzen begrijpen) voor meer informatie over v2-prestaties en prijzen.
De Application Gateway Standard (v1) wordt aangeboden in drie grootten: Klein, Gemiddeld en Groot. Kleine exemplaargrootten zijn bedoeld voor het ontwikkelen en testen van scenario's.
Zie Servicelimieten voor Application Gateway voor een volledige lijst van toepassingsgateway-limieten.
In de volgende tabel ziet u een gemiddelde prestatiedoorvoer voor elk exemplaar van de toepassingsgateway v1 met SSL-offload ingeschakeld:
| Gemiddelde grootte van een antwoord van de back-endpagina | Klein | Normaal | Groot |
|---|---|---|---|
| 6 kB | 7,5 Mbps | 13 Mbps | 50 Mbps |
| 100 kB | 35 Mbps | 100 Mbps | 200 Mbps |
Notitie
Deze waarden zijn geschatte waarden voor de doorvoer van een toepassingsgateway. De werkelijke doorvoer hangt af van verschillende details van de omgeving, zoals de gemiddelde paginagrootte, locatie van back-endexemplaren en de verwerkingstijd voor een pagina. Voor nauwkeurige prestatiecijfers moet u uw eigen tests uitvoeren. Deze waarden worden alleen geboden als richtlijn voor de capaciteitsplanning.
Vergelijking van versiefunctie
Zie Autoscaling Application Gateway and Zone-redundant Application Gateway v2 (Automatisch schalen en zone-redundante Application Gateway v2) voor een vergelijking van de functies Application Gateway v2
Volgende stappen
- Meer informatie Application Gateway hoe een toepassingsgateway werkt