Wat is Azure Application Gateway?What is Azure Application Gateway?

Azure Application Gateway is een load balancer voor webverkeer waarmee u het verkeer naar uw webapps kunt beheren.Azure Application Gateway is a web traffic load balancer that enables you to manage traffic to your web applications. Traditionele load balancers werken op de transportlaag (OSI-laag 4 - TCP en UDP) en routeren verkeer op basis van IP-bronadres en een bronpoort naar een IP-doeladres en doelpoort.Traditional load balancers operate at the transport layer (OSI layer 4 - TCP and UDP) and route traffic based on source IP address and port, to a destination IP address and port.

Application Gateway conceptual

Met Application Gateway kunt u routerings beslissingen nemen op basis van aanvullende kenmerken van een HTTP-aanvraag, zoals URI-pad of hostheaders.With Application Gateway, you can make routing decisions based on additional attributes of an HTTP request, such as URI path or host headers. U kunt bijvoorbeeld verkeer op basis van de binnenkomende URL routeren.For example, you can route traffic based on the incoming URL. Dus als /images de binnenkomende URL is, kunt u verkeer routeren naar een specifieke set servers (ook wel een pool genoemd) die is geconfigureerd voor installatiekopieën.So if /images is in the incoming URL, you can route traffic to a specific set of servers (known as a pool) configured for images. Als /video in de URL staat, wordt dat verkeer doorgestuurd naar een andere groep die is geoptimaliseerd voor Video's.If /video is in the URL, that traffic is routed to another pool that's optimized for videos.

imageURLroute

Dit type routering staat bekend al taakverdeling op de toepassingslaag (OSI-laag 7).This type of routing is known as application layer (OSI layer 7) load balancing. Azure Application Gateway kan URL-gebaseerde routering en meer uitvoeren.Azure Application Gateway can do URL-based routing and more.

Notitie

Azure biedt een pakket volledig beheerde oplossingen voor taakverdeling voor uw scenario's.Azure provides a suite of fully managed load-balancing solutions for your scenarios. Zie Wat is Azure Load Balancer? als u behoefte hebt aan hoge prestaties en lage latentie, laag-4 taak verdeling.If you need high-performance, low-latency, Layer-4 load balancing, see What is Azure Load Balancer? Als u op zoek bent naar globale DNS-taak verdeling, raadpleegt u Wat is Traffic Manager?If you're looking for global DNS load balancing, see What is Traffic Manager? Uw end-to-end-scenario's kunnen van pas komen bij het combi neren van deze oplossingen.Your end-to-end scenarios may benefit from combining these solutions.

Zie overzicht van opties voor taak verdeling in azurevoor een vergelijking van Azure-opties voor taak verdeling.For an Azure load-balancing options comparison, see Overview of load-balancing options in Azure.

Azure Application Gateway bevat de volgende functies:The following features are included with Azure Application Gateway:

Beëindiging van Secure Sockets Layer (SSL/TLS)Secure Sockets Layer (SSL/TLS) termination

Application Gateway ondersteunt het beëindigen van SSL/TLS op de gateway, waarna verkeer doorgaans niet-versleuteld naar de back-endservers stromen.Application gateway supports SSL/TLS termination at the gateway, after which traffic typically flows unencrypted to the backend servers. Met deze functie voorkomt u prijzige overhead voor het versleutelen en ontsleutelen voor uw webservers.This feature allows web servers to be unburdened from costly encryption and decryption overhead. Maar soms is onversleutelde communicatie met de server echter geen aanvaardbare optie.But sometimes unencrypted communication to the servers is not an acceptable option. Dit kan worden veroorzaakt door beveiligings vereisten, nalevings vereisten of door de toepassing alleen een beveiligde verbinding te accepteren.This can be because of security requirements, compliance requirements, or the application may only accept a secure connection. Voor deze toepassingen ondersteunt Application Gateway end-to-end SSL/TLS-versleuteling.For these applications, application gateway supports end to end SSL/TLS encryption.

Automatisch schalenAutoscaling

Application Gateway-of WAF-implementaties onder Standard_v2 of WAF_v2 SKU ondersteunen automatisch schalen en kunnen omhoog of omlaag worden geschaald op basis van het wijzigen van de verkeers laad patronen.Application Gateway or WAF deployments under Standard_v2 or WAF_v2 SKU support autoscaling and can scale up or down based on changing traffic load patterns. Automatisch schalen heft ook de vereiste op om tijdens het inrichten een implementatiegrootte of het aantal instanties te kiezen.Autoscaling also removes the requirement to choose a deployment size or instance count during provisioning. Zie v2 SKUvoor automatisch schalen voor meer informatie over de functies Application Gateway Standard_v2 en WAF_v2.For more information about the Application Gateway Standard_v2 and WAF_v2 features, see Autoscaling v2 SKU.

Zone redundantieZone redundancy

Een Application Gateway-of WAF-implementaties onder Standard_v2 of WAF_v2 SKU kan meerdere Beschikbaarheidszones omvatten, waardoor er betere fout tolerantie wordt geboden en de nood zaak voor het inrichten van afzonderlijke toepassings gateways in elke zone wordt verwijderd.An Application Gateway or WAF deployments under Standard_v2 or WAF_v2 SKU can span multiple Availability Zones, offering better fault resiliency and removing the need to provision separate Application Gateways in each zone.

Statisch VIPStatic VIP

Het VIP van de toepassings gateway op Standard_v2 of WAF_v2 SKU ondersteunt alleen een statisch VIP-type.The application gateway VIP on Standard_v2 or WAF_v2 SKU supports static VIP type exclusively. Dit zorgt ervoor dat het VIP dat is gekoppeld aan de toepassings gateway niet wordt gewijzigd, zelfs gedurende de levens duur van de Application Gateway.This ensures that the VIP associated with application gateway doesn't change even over the lifetime of the Application Gateway.

Firewall voor webtoepassingenWeb application firewall

Web Application firewall (WAF) is een service waarmee uw webtoepassingen gecentraliseerd worden beschermd tegen veelvoorkomende aanvallen en beveiligings problemen.Web application firewall (WAF) is a service that provides centralized protection of your web applications from common exploits and vulnerabilities. WAF is gebaseerd op regels van de OWASP (open Web Application Security project) kern regel sets 3,1 (alleen WAF_v2), 3,0 en 2.2.9.WAF is based on rules from the OWASP (Open Web Application Security Project) core rule sets 3.1 (WAF_v2 only), 3.0, and 2.2.9.

Webtoepassingen zijn in toenemende mate het doel van aanvallen die gebruikmaken van veelvoorkomende bekende beveiligingsproblemen.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Veelvoorkomende aanvallen zijn hierbij onder andere aanvallen met SQL-injecties en aanvallen via scripting op meerdere sites.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Het kan een hele uitdaging zijn om dergelijke aanvallen in toepassingscode te voorkomen en dit kan tevens veel onderhoud, patching en controle vereisen op meerdere lagen van de toepassingstopologie.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at many layers of the application topology. Een gecentraliseerde firewall voor webtoepassingen maakt het beveiligingsbeheer veel eenvoudiger en biedt toepassingsbeheerders meer veiligheid tegen bedreigingen of aanvallen.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Een WAF-oplossing kan ook sneller reageren op een beveiligingsrisico door een patch voor een bekend beveiligingsprobleem toe te passen op een centrale locatie in plaats van elke afzonderlijke webtoepassing te beveiligen.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. Bestaande toepassingsgateways kunnen eenvoudig worden geconverteerd naar een toepassingsgateway met Web Application Firewall.Existing application gateways can be converted to a web application firewall enabled application gateway easily.

Zie Wat is Azure Web Application firewall?voor meer informatie.For more information, see What is Azure Web Application Firewall?.

Controller van inkomend verkeer voor AKSIngress Controller for AKS

Met Application Gateway ingangs controller (AGIC) kunt u Application Gateway gebruiken als binnenkomend verkeer voor een Azure Kubernetes service-cluster (AKS) .Application Gateway Ingress Controller (AGIC) allows you to use Application Gateway as the ingress for an Azure Kubernetes Service (AKS) cluster.

De ingangs controller wordt uitgevoerd als een pod in het AKS-cluster en maakt gebruik van Kubernetes inkomende bronnen en converteert deze naar een Application Gateway configuratie, waarmee de gateway het verkeer kan verdelen over het gehele Kubernetes.The ingress controller runs as a pod within the AKS cluster and consumes Kubernetes Ingress Resources and converts them to an Application Gateway configuration which allows the gateway to load-balance traffic to the Kubernetes pods. De ingangs controller ondersteunt alleen Application Gateway v2 SKU.The ingress controller only supports Application Gateway V2 SKU.

Zie Application Gateway ingress controller (AGIC) (Engelstalig)voor meer informatie.For more information, see Application Gateway Ingress Controller (AGIC).

URL-gebaseerde routeringURL-based routing

Met op URL-pad gebaseerde routering kunt u verkeer routeren naar back-endserverpools die zijn gebaseerd op de URL-paden van de aanvraag.URL Path Based Routing allows you to route traffic to back-end server pools based on URL Paths of the request. Een van de scenario's is het routeren van aanvragen voor verschillende inhoudstypen naar een andere pool.One of the scenarios is to route requests for different content types to different pool.

Aanvragen voor http://contoso.com/video/* worden bijvoorbeeld doorgestuurd naar VideoServerPool en aanvragen voor http://contoso.com/images/* worden doorgestuurd naar ImageServerPool.For example, requests for http://contoso.com/video/* are routed to VideoServerPool, and http://contoso.com/images/* are routed to ImageServerPool. Als geen van de padpatronen overeenkomen, wordt DefaultServerPool geselecteerd.DefaultServerPool is selected if none of the path patterns match.

Zie URL-based route ring met Application Gatewayvoor meer informatie.For more information, see URL-based routing with Application Gateway.

Hosting van meerdere sitesMultiple-site hosting

Door meerdere sites te hosten, kunt u meer dan een website configureren op dezelfde instantie van de toepassingsgateway.Multiple-site hosting enables you to configure more than one web site on the same application gateway instance. Met deze functie kunt u een efficiëntere topologie voor uw implementaties configureren door Maxi maal 100 websites toe te voegen aan één Application Gateway, of 40 voor WAF (voor optimale prestaties).This feature allows you to configure a more efficient topology for your deployments by adding up to 100 web sites to one Application Gateway, or 40 for WAF (for optimal performance). Elke website kan worden omgeleid naar een eigen pool.Each web site can be directed to its own pool. Application Gateway kan bijvoorbeeld verkeer regelen voor contoso.com en fabrikam.com vanaf twee servergroepen genaamd ContosoServerPool en FabrikamServerPool.For example, application gateway can serve traffic for contoso.com and fabrikam.com from two server pools called ContosoServerPool and FabrikamServerPool.

Aanvragen voor http://contoso.com worden gerouteerd naar ContoServerPool en aanvragen voor http://fabrikam.com worden gerouteerd naar FabrikamServerPool.Requests for http://contoso.com are routed to ContosoServerPool, and http://fabrikam.com are routed to FabrikamServerPool.

Op dezelfde manier kunnen twee subdomeinen van hetzelfde bovenliggende domein worden gehost op dezelfde implementatie van een toepassingsgateway.Similarly, two subdomains of the same parent domain can be hosted on the same application gateway deployment. Voorbeelden van subdomeinen die worden gehost op één toepassingsgateway-implementatie, zijn http://blog.contoso.com en http://app.contoso.com.Examples of using subdomains could include http://blog.contoso.com and http://app.contoso.com hosted on a single application gateway deployment.

Zie meerdere sites hosten met Application Gatewayvoor meer informatie.For more information, see multiple-site hosting with Application Gateway.

OmleidingRedirection

Een veelvoorkomend scenario voor veel webtoepassingen is de ondersteuning van automatische HTTP-naar-HTTPS-omleiding zodat alle communicatie tussen een toepassing en gebruikers plaatsvindt via een versleuteld pad.A common scenario for many web applications is to support automatic HTTP to HTTPS redirection to ensure all communication between an application and its users occurs over an encrypted path.

In het verleden hebt u mogelijk technieken gebruikt, zoals het maken van een exclusieve pool waarvan het enige doel is om aanvragen om te leiden die worden ontvangen op HTTP-HTTPS.In the past, you may have used techniques such as dedicated pool creation whose sole purpose is to redirect requests it receives on HTTP to HTTPS. Application Gateway ondersteunt het omleiden van verkeer op de Application Gateway.Application gateway supports the ability to redirect traffic on the Application Gateway. Dit vereenvoudigt de configuratie van toepassingen, optimaliseert het resourcegebruik en biedt ondersteuning voor nieuwe omleidingsscenario's, waaronder de globale en op pad gebaseerde omleidingen.This simplifies application configuration, optimizes the resource usage, and supports new redirection scenarios, including global and path-based redirection. Application Gateway omleidings ondersteuning is niet beperkt tot HTTP-naar-HTTPS-omleiding.Application Gateway redirection support isn't limited to HTTP to HTTPS redirection alone. Dit is een algemeen omleidingsmechanisme, zodat u op basis van regels kunt omleiden van en naar elke poort die u gebruikt.This is a generic redirection mechanism, so you can redirect from and to any port you define using rules. Ook omleiding naar een externe site wordt ondersteund.It also supports redirection to an external site as well.

Ondersteuning voor Application Gateway-omleiding biedt de volgende mogelijkheden:Application Gateway redirection support offers the following capabilities:

  • Globale omleiding van de ene poort naar de andere poort op de Gateway.Global redirection from one port to another port on the Gateway. Hierdoor is HTTP-naar-HTTPS-omleiding op een site mogelijk.This enables HTTP to HTTPS redirection on a site.
  • Padgebaseerde omleiding.Path-based redirection. Dit type omleiding maakt HTTP-naar-HTTPS-omleiding alleen mogelijk op een specifiek sitegebied, bijvoorbeeld een winkelwagengebied aangegeven door /cart/*.This type of redirection enables HTTP to HTTPS redirection only on a specific site area, for example a shopping cart area denoted by /cart/*.
  • Omleiden naar een externe site.Redirect to an external site.

Zie verkeer omleiden met Application Gateway voor meer informatie.For more information, see redirecting traffic with Application Gateway.

SessieaffiniteitSession affinity

De functie Sessieaffiniteit op basis van cookies is handig als u een gebruikerssessie op dezelfde server wilt behouden.The cookie-based session affinity feature is useful when you want to keep a user session on the same server. Met behulp van de gatewaybeheerde cookies kan de Application Gateway het daarop volgende verkeer van een gebruikerssessie naar dezelfde server leiden voor verwerking.By using gateway-managed cookies, the Application Gateway can direct subsequent traffic from a user session to the same server for processing. Dit is belangrijk wanneer de sessiestatus lokaal wordt opgeslagen op de server voor een gebruikerssessie.This is important in cases where session state is saved locally on the server for a user session.

Websocket- en HTTP-/2-verkeerWebsocket and HTTP/2 traffic

Application Gateway biedt systeemeigen ondersteuning voor de WebSocket- en HTTP-/2-protocollen.Application Gateway provides native support for the WebSocket and HTTP/2 protocols. Er is geen door de gebruiker configureerbare instelling om selectief WebSocket-ondersteuning in of uit te schakelen.There's no user-configurable setting to selectively enable or disable WebSocket support.

De WebSocket- en HTTP-/2-protocollen maken full-duplex-communicatie tussen een server en een client mogelijk via een langdurige TCP-verbinding.The WebSocket and HTTP/2 protocols enable full duplex communication between a server and a client over a long running TCP connection. Dit maakt een meer interactieve communicatie mogelijk tussen de webserver en de client, die bidirectioneel kan zijn zonder dat hiervoor polling nodig is, zoals vereist in implementaties op basis van HTTP.This allows for a more interactive communication between the web server and the client, which can be bidirectional without the need for polling as required in HTTP-based implementations. Deze protocollen hebben een lage overhead, in tegens telling tot HTTP, en kunnen dezelfde TCP-verbinding opnieuw gebruiken voor meerdere aanvragen en antwoorden, wat resulteert in een efficiëntere bron gebruik.These protocols have low overhead, unlike HTTP, and can reuse the same TCP connection for multiple request/responses resulting in a more efficient resource utilization . Deze protocollen zijn ontworpen om te werken via de traditionele HTTP-poorten: 80 en 443.These protocols are designed to work over traditional HTTP ports of 80 and 443.

Zie ondersteuning voor Websockets en http/2-ondersteuningvoor meer informatie.For more information, see WebSocket support and HTTP/2 support.

Verwerkingsstop voor verbindingenConnection draining

Verwerkingsstop voor verbindingen helpt u om back-endgroepsleden zonder problemen te verwijderen tijdens geplande service-updates.Connection draining helps you achieve graceful removal of backend pool members during planned service updates. Deze instelling wordt ingeschakeld via de HTTP-instelling van de back-end en kan tijdens het maken van de regel worden toegepast op alle leden van een back-endgroep.This setting is enabled via the backend http setting and can be applied to all members of a backend pool during rule creation. Wanneer deze functie is ingeschakeld, ontvangt Application Gateway alle ongedaan maken van de registratie van exemplaren van een back-end-groep geen nieuwe aanvraag en wordt het toestaan dat bestaande aanvragen binnen een geconfigureerde tijds limiet worden voltooid.Once enabled, Application Gateway ensures all deregistering instances of a backend pool do not receive any new request while allowing existing requests to complete within a configured time limit. Dit geldt voor beide back-endservers die expliciet worden verwijderd uit de back-end-pool door een wijziging van de gebruikers configuratie en back-end-exemplaren die als slecht zijn gerapporteerd zoals bepaald door de status controles.This applies to both backend instances that are explicitly removed from the backend pool by a user configuration change, and backend instances that are reported as unhealthy as determined by the health probes. De enige uitzonde ring hierop zijn aanvragen die zijn gebonden voor het deregistreren van instanties, die expliciet zijn geregistreerd vanwege gateway beheer sessie-affiniteit, en naar de Deregistratie van instanties blijven worden gefactureerd.The only exception to this are requests bound for deregistering instances, which have been deregistered explicitly, because of gateway-managed session affinity and will continued to be proxied to the deregistering instances.

Zie voor meer informatie de sectie verbindings afvoer van Application Gateway configuratie-overzicht.For more information, see the Connection Draining section of Application Gateway Configuration Overview.

Aangepaste foutenpagina'sCustom error pages

Met Application Gateway kunt u aangepaste foutpagina's maken in plaats van standaardfoutpagina's weer te geven.Application Gateway allows you to create custom error pages instead of displaying default error pages. U kunt uw eigen huisstijl en lay-out hanteren door een aangepaste foutpagina te gebruiken.You can use your own branding and layout using a custom error page.

Zie aangepaste foutenvoor meer informatie.For more information, see Custom Errors.

HTTP-headers opnieuw genererenRewrite HTTP headers

Met HTTP-headers kunnen de client en server aanvullende informatie door geven met de aanvraag of het antwoord.HTTP headers allow the client and server to pass additional information with the request or the response. Het herschrijven van deze HTTP-headers helpt u bij het uitvoeren van verschillende belang rijke scenario's, zoals:Rewriting these HTTP headers helps you accomplish several important scenarios, such as:

  • Toevoegen van aan beveiliging gerelateerde header velden zoals HSTS/X-XSS-beveiliging.Adding security-related header fields like HSTS/ X-XSS-Protection.
  • De velden van de antwoord header worden verwijderd die gevoelige informatie kunnen onthullen.Removing response header fields that can reveal sensitive information.
  • Poort gegevens van X-doorgestuurd-voor koptekstenStripping port information from X-Forwarded-For headers.

Application Gateway ondersteunt de mogelijkheid om HTTP-aanvragen en-antwoord headers toe te voegen, te verwijderen of bij te werken, terwijl de aanvraag-en antwoord pakketten tussen de client en de back-end-pool worden verplaatst.Application Gateway supports the capability to add, remove, or update HTTP request and response headers, while the request and response packets move between the client and back-end pools. Het biedt ook de mogelijkheid om voor waarden toe te voegen om ervoor te zorgen dat de opgegeven headers alleen worden herschreven wanneer aan bepaalde voor waarden wordt voldaan.It also provides you with the capability to add conditions to ensure the specified headers are rewritten only when certain conditions are met.

Zie HTTP-headers herschrijvenvoor meer informatie.For more information, see Rewrite HTTP headers.

Grootte aanpassenSizing

Application Gateway Standard_v2 en WAF_v2 SKU kunnen worden geconfigureerd voor implementaties met automatisch schalen of vaste grootte.Application Gateway Standard_v2 and WAF_v2 SKU can be configured for autoscaling or fixed size deployments. Deze Sku's bieden geen verschillende exemplaar grootten.These SKUs don't offer different instance sizes. Zie v2 SKUvoor automatisch schalen voor meer informatie over de prestaties en prijzen van v2.For more information on v2 performance and pricing, see Autoscaling v2 SKU.

De Application Gateway Standard-en WAF-SKU worden momenteel aangeboden in drie grootten: klein, gemiddelden groot.The Application Gateway Standard and WAF SKU is currently offered in three sizes: Small, Medium, and Large. Kleine exemplaargrootten zijn bedoeld voor het ontwikkelen en testen van scenario's.Small instance sizes are intended for development and testing scenarios.

Zie Servicelimieten voor Application Gateway voor een volledige lijst van toepassingsgateway-limieten.For a complete list of application gateway limits, see Application Gateway service limits.

De volgende tabel toont een gemiddelde prestaties doorvoer voor elke Application Gateway v1-instantie waarvoor SSL-offload is ingeschakeld:The following table shows an average performance throughput for each application gateway v1 instance with SSL offload enabled:

Gemiddelde grootte van een antwoord van de back-endpaginaAverage back-end page response size KleinSmall MiddelgrootMedium GrootLarge
6 kB6 KB 7,5 Mbps7.5 Mbps 13 Mbps13 Mbps 50 Mbps50 Mbps
100 kB100 KB 35 Mbps35 Mbps 100 Mbps100 Mbps 200 Mbps200 Mbps

Notitie

Deze waarden zijn geschatte waarden voor de doorvoer van een toepassingsgateway.These values are approximate values for an application gateway throughput. De werkelijke doorvoer hangt af van verschillende details van de omgeving, zoals de gemiddelde paginagrootte, locatie van back-endexemplaren en de verwerkingstijd voor een pagina.The actual throughput depends on various environment details, such as average page size, location of back-end instances, and processing time to serve a page. Voor nauwkeurige prestatiecijfers moet u uw eigen tests uitvoeren.For exact performance numbers, you should run your own tests. Deze waarden worden alleen geboden als richtlijn voor de capaciteitsplanning.These values are only provided for capacity planning guidance.

Volgende stappenNext steps

Afhankelijk van uw vereisten en omgeving, kunt u een Application Gateway voor testdoeleinden maken met behulp van de Azure Portal, Azure PowerShell of Azur CLI:Depending on your requirements and environment, you can create a test Application Gateway using either the Azure portal, Azure PowerShell, or Azure CLI: