Funcionalidades do Gateway de Aplicações AzureAzure Application Gateway features

O Gateway de Aplicação do Azure é um balanceador de carga do tráfego da Web que lhe permite gerir o tráfego das suas aplicações Web.Azure Application Gateway is a web traffic load balancer that enables you to manage traffic to your web applications.

Aplicação Gateway conceptual

O Gateway de Aplicações inclui as seguintes funcionalidades:Application Gateway includes the following features:

Terminação da camada de tomadas seguras (SSL/TLS)Secure Sockets Layer (SSL/TLS) termination

O gateway de aplicação suporta a terminação SSL/TLS no gateway, após o qual o tráfego normalmente flui desencriptado para os servidores de backend.Application gateway supports SSL/TLS termination at the gateway, after which traffic typically flows unencrypted to the backend servers. Esta funcionalidade permite que os servidores Web estejam livres de sobrecarga de encriptação e desencriptação dispendiosa.This feature allows web servers to be unburdened from costly encryption and decryption overhead. Mas às vezes a comunicação não encriptada para os servidores não é uma opção aceitável.But sometimes unencrypted communication to the servers isn't an acceptable option. Isto pode ser devido a requisitos de segurança, requisitos de conformidade, ou o pedido só pode aceitar uma ligação segura.This can be because of security requirements, compliance requirements, or the application may only accept a secure connection. Para estas aplicações, os suportes de gateway de aplicação terminam com a encriptação SSL/TLS.For these applications, application gateway supports end to end SSL/TLS encryption.

Para mais informações, consulte a visão geral da rescisão de SSL e o fim do SSL com o Gateway de AplicaçõesFor more information, see Overview of SSL termination and end to end SSL with Application Gateway

Dimensionamento automáticoAutoscaling

O Standard_v2 de Aplicação Gateway suporta a autoscalagem e pode escalar para cima ou para baixo com base na alteração dos padrões de carga de tráfego.Application Gateway Standard_v2 supports autoscaling and can scale up or down based on changing traffic load patterns. O dimensionamento automático também elimina o requisito de escolher um tamanho de implementação ou uma contagem de instâncias ou durante o aprovisionamento.Autoscaling also removes the requirement to choose a deployment size or instance count during provisioning.

Para obter mais informações sobre as funcionalidades de Standard_v2 do Gateway de Aplicação, consulte Autoscaling v2 SKU.For more information about the Application Gateway Standard_v2 features, see Autoscaling v2 SKU.

Redundância entre zonasZone redundancy

Um Gateway de aplicação Standard_v2 pode abranger várias Zonas de Disponibilidade, oferecendo uma melhor resiliência de falhas e removendo a necessidade de providenciar gateways de aplicação separados em cada zona.A Standard_v2 Application Gateway can span multiple Availability Zones, offering better fault resiliency and removing the need to provision separate Application Gateways in each zone.

VIP estáticoStatic VIP

A porta de entrada de aplicação Standard_v2 SKU suporta exclusivamente o tipo VIP estático.The application gateway Standard_v2 SKU supports static VIP type exclusively. Isto garante que o VIP associado ao gateway de aplicações não muda mesmo ao longo da vida útil do Gateway de aplicações.This ensures that the VIP associated with application gateway doesn't change even over the lifetime of the Application Gateway.

Firewall de Aplicação WebWeb Application Firewall

Web Application Firewall (WAF) é um serviço que fornece proteção centralizada das suas aplicações web contra explorações e vulnerabilidades comuns.Web Application Firewall (WAF) is a service that provides centralized protection of your web applications from common exploits and vulnerabilities. A WAF baseia-se nas regras do OWASP (Open Web Application Security Project) que define 3.1 (apenas WAF_v2), 3.0 e 2.2.9.WAF is based on rules from the OWASP (Open Web Application Security Project) core rule sets 3.1 (WAF_v2 only), 3.0, and 2.2.9.

Cada vez mais, as aplicações Web são alvo de ataques maliciosos que exploram vulnerabilidades conhecidas comuns.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Destas vulnerabilidades, são frequentes os ataques de injeção de SQL, scripting entre sites, entre muitas outras.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Impedir este tipo de ataques ao código das aplicações constitui um desafio e exige uma manutenção, correção e monitorização rigorosas em muitas camadas da topologia da aplicação.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at many layers of the application topology. Uma firewall de aplicações Web centralizada ajuda a simplificar em muito a gestão da segurança e confere aos administradores de aplicações uma maior garantia de proteção contra as ameaças ou intrusões.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Uma solução WAF também pode reagir mais rapidamente a uma ameaça de segurança ao corrigir uma vulnerabilidade conhecida numa localização central, em vez de proteger cada uma das aplicações Web individualmente.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. Os gateways de aplicações existentes podem ser convertidos para um portal de aplicação ativado pela Web Application Firewall facilmente.Existing application gateways can be converted to a Web Application Firewall enabled application gateway easily.

Para mais informações, veja o que é a Azure Web Application Firewall?For more information, see What is Azure Web Application Firewall?.

Controlador de Entrada para AKSIngress Controller for AKS

O Controlador de Entradas de Gateway (AGIC) permite-lhe utilizar o Application Gateway como entrada para um cluster Azure Kubernetes Service (AKS).Application Gateway Ingress Controller (AGIC) allows you to use Application Gateway as the ingress for an Azure Kubernetes Service (AKS) cluster.

O controlador de entrada funciona como uma cápsula dentro do cluster AKS e consome recursos Kubernetes Ingress e converte-os numa configuração de Gateway de Aplicação, que permite ao portal de equilibrar o tráfego para as cápsulas Kubernetes.The ingress controller runs as a pod within the AKS cluster and consumes Kubernetes Ingress Resources and converts them to an Application Gateway configuration, which allows the gateway to load-balance traffic to the Kubernetes pods. O controlador de entrada suporta apenas Standard_v2 de Gateway de Aplicação e SKUs WAF_v2.The ingress controller only supports Application Gateway Standard_v2 and WAF_v2 SKUs.

Para obter mais informações, consulte o Controlador de Entrada de Entrada de Aplicação (AGIC).For more information, see Application Gateway Ingress Controller (AGIC).

Encaminhamento com base no URLURL-based routing

O Encaminhamento Baseado no Caminho do URL permite-lhe encaminhar o tráfego para agrupamentos de servidores de back-end com base nos Caminhos de URL.URL Path Based Routing allows you to route traffic to back-end server pools based on URL Paths of the request. Um dos cenários consiste em encaminhar pedidos de diferentes tipos de conteúdo para diferentes agrupamentos.One of the scenarios is to route requests for different content types to different pool.

Por exemplo, os pedidos de http://contoso.com/video/* são encaminhados para VideoServerPool e os pedidos de http://contoso.com/images/* são encaminhados para ImageServerPool.For example, requests for http://contoso.com/video/* are routed to VideoServerPool, and http://contoso.com/images/* are routed to ImageServerPool. É selecionado o DefaultServerPool se nenhum dos padrões de caminho corresponder.DefaultServerPool is selected if none of the path patterns match.

Para obter mais informações, consulte a visão geral do encaminhamento baseado em caminhos url.For more information, see URL Path Based Routing overview.

Alojamento de vários sitesMultiple-site hosting

Com o Application Gateway, pode configurar o encaminhamento com base no nome do anfitrião ou no nome de domínio para mais de uma aplicação web no mesmo gateway de aplicações.With Application Gateway, you can configure routing based on host name or domain name for more than one web application on the same application gateway. Permite-lhe configurar uma topologia mais eficiente para as implementações ao adicionar até 100 sites a um gateway de aplicação.It allows you to configure a more efficient topology for your deployments by adding up to 100+ websites to one application gateway. Cada site pode ser direcionado para o seu próprio agrupamento de back-end.Each website can be directed to its own backend pool. Por exemplo, três domínios, contoso.com, fabrikam.com e adatum.com, apontam para o endereço IP do gateway de aplicação.For example, three domains, contoso.com, fabrikam.com, and adatum.com, point to the IP address of the application gateway. Teria de criar três serviços de escuta com vários sites e configurar cada serviço de escuta para a respetiva definição de porta e protocolo.You'd create three multi-site listeners and configure each listener for the respective port and protocol setting.

Os pedidos http://contoso.com são encaminhados para ContosoServerPool, http://fabrikam.com são encaminhados para FabrikamServerPool, e assim por diante.Requests for http://contoso.com are routed to ContosoServerPool, http://fabrikam.com are routed to FabrikamServerPool, and so on.

Da mesma forma, dois subdomínios do mesmo domínio principal podem ser alojados na mesma implementação do gateway de aplicação.Similarly, two subdomains of the same parent domain can be hosted on the same application gateway deployment. Exemplos de como utilizar subdomínios podem incluir http://blog.contoso.com e http://app.contoso.com alojados numa única implementação do gateway de aplicação.Examples of using subdomains could include http://blog.contoso.com and http://app.contoso.com hosted on a single application gateway deployment. Para obter mais informações, consulte o site application gateway múltiplo.For more information, see Application Gateway multiple site hosting.

Além disso, pode definir nomes de anfitrião de caráter universal num serviço de escuta com vários sites e até cinco nomes de anfitrião por serviço de escuta.You can also define wildcard host names in a multi-site listener and up to 5 host names per listener. Para saber mais, consulte os nomes dos anfitriões wildcard no ouvinte (pré-visualização).To learn more, see wildcard host names in listener (preview).

RedirecionamentoRedirection

Um cenário comum para muitas aplicações Web consiste em suportar o redirecionamento automático de HTTP para HTTPS para garantir que toda a comunicações entre uma aplicação e os seus utilizadores ocorre através de um caminho encriptado.A common scenario for many web applications is to support automatic HTTP to HTTPS redirection to ensure all communication between an application and its users occurs over an encrypted path.

No passado, pode ter usado técnicas como a criação de piscinas dedicadas cujo único propósito é redirecionar os pedidos que recebe em HTTPS.In the past, you may have used techniques such as dedicated pool creation whose sole purpose is to redirect requests it receives on HTTP to HTTPS. O gateway de aplicação suporta a capacidade de redirecionar o tráfego no Gateway de Aplicação.Application gateway supports the ability to redirect traffic on the Application Gateway. Isto simplifica a configuração da aplicação, otimiza a utilização de recursos e suporta novos cenários de redirecionamento, incluindo o redirecionamento global e com base no caminho.This simplifies application configuration, optimizes the resource usage, and supports new redirection scenarios, including global and path-based redirection. O suporte de redirecionamento de Gateway de Aplicação não se limita apenas a https para reorientação HTTPS.Application Gateway redirection support isn't limited to HTTP to HTTPS redirection alone. Trata-se de um mecanismo de redirecionamento genérico, para que possa redirecionar de e para qualquer porta que define através de regras.This is a generic redirection mechanism, so you can redirect from and to any port you define using rules. Também suporta o redirecionamento para um site externo.It also supports redirection to an external site as well.

O suporte de redirecionamento do Gateway de Aplicação oferece as seguintes capacidades:Application Gateway redirection support offers the following capabilities:

  • Redirecionamento global de uma porta para outra porta no Gateway.Global redirection from one port to another port on the Gateway. Isto permite o redirecionamento de HTTP para HTTPS num site.This enables HTTP to HTTPS redirection on a site.
  • Redirecionamento com base no caminho.Path-based redirection. Este tipo de redirecionamento permite o redirecionamento de HTTP para HTTPS apenas numa área específica de um site, por exemplo, uma área de carrinho de compras indicada por /cart/*.This type of redirection enables HTTP to HTTPS redirection only on a specific site area, for example a shopping cart area denoted by /cart/*.
  • Redirecionar para um site externo.Redirect to an external site.

Para obter mais informações, consulte a visão geral do gateway de aplicações.For more information, see Application Gateway redirect overview.

Afinidade de sessãoSession affinity

A funcionalidade de afinidade de sessão com base em cookies é útil quando pretende manter uma sessão de utilizador no mesmo servidor.The cookie-based session affinity feature is useful when you want to keep a user session on the same server. Ao utilizar cookies geridos por um gateway, o Gateway de Aplicação pode direcionar o tráfego subsequente de uma sessão de utilizador para o mesmo servidor para processamento.By using gateway-managed cookies, the Application Gateway can direct subsequent traffic from a user session to the same server for processing. Isto é importante nos casos em que o estado da sessão é guardado localmente no servidor para uma sessão de utilizador.This is important in cases where session state is saved locally on the server for a user session.

Para mais informações, consulte como funciona uma porta de aplicação.For more information, see How an application gateway works.

Tráfego de Websocket e HTTP/2Websocket and HTTP/2 traffic

O Gateway de Aplicação fornece suporte nativo para os protocolos WebSocket e HTTP/2.Application Gateway provides native support for the WebSocket and HTTP/2 protocols. Não existe qualquer definição configurável pelo utilizador para ativar ou desativar seletivamente o suporte de WebSocket.There's no user-configurable setting to selectively enable or disable WebSocket support.

Os protocolos WebSocket e HTTP/2 ativam a comunicação duplex completa entre um servidor e um cliente através de uma ligação TCP de execução longa.The WebSocket and HTTP/2 protocols enable full duplex communication between a server and a client over a long running TCP connection. Isto permite uma comunicação mais interativa entre o servidor Web e o cliente, que pode ser bidirecional sem necessidade de consulta, que é necessária em implementações com base em HTTP.This allows for a more interactive communication between the web server and the client, which can be bidirectional without the need for polling as required in HTTP-based implementations. Estes protocolos têm sobrecargas baixas, ao contrário de HTTP, e podem reutilizar a mesma ligação TCP para múltiplos pedidos/respostas, resultando numa utilização mais eficiente dos recursos.These protocols have low overhead, unlike HTTP, and can reuse the same TCP connection for multiple request/responses resulting in a more efficient resource utilization. Estes protocolos foram concebidos para funcionar através das portas HTTP tradicionais 80 e 443.These protocols are designed to work over traditional HTTP ports of 80 and 443.

Para obter mais informações, consulte o suporte da WebSocket e o suporte HTTP/2.For more information, see WebSocket support and HTTP/2 support.

Drenagem de ligaçãoConnection draining

A drenagem de ligação ajuda a conseguir uma remoção correta de membros do conjunto de back-end durante as atualizações de serviço planeadas.Connection draining helps you achieve graceful removal of backend pool members during planned service updates. Esta definição é ativada através da definição de http de back-end e pode ser aplicada a todos os membros de um conjunto de back-end durante a criação da regra.This setting is enabled via the backend http setting and can be applied to all members of a backend pool during rule creation. Uma vez ativado, o Application Gateway garante que todas as instâncias de desregista de um pool de backend não recebem qualquer novo pedido, permitindo que os pedidos existentes completem dentro de um prazo configurado.Once enabled, Application Gateway ensures all deregistering instances of a backend pool don't receive any new request while allowing existing requests to complete within a configured time limit. Isto aplica-se a ambos os casos de backend que são explicitamente removidos do pool de backend por uma alteração de configuração do utilizador, e casos de backend que são reportados como insalubres como determinados pelas sondas de saúde.This applies to both backend instances that are explicitly removed from the backend pool by a user configuration change, and backend instances that are reported as unhealthy as determined by the health probes. A única exceção a esta questão são os pedidos destinados a desregistar casos, que foram explicitamente descontados, devido à afinidade da sessão gerida por gateways e que continuam a ser acompanhados das instâncias de desregiscimento.The only exception to this are requests bound for deregistering instances, which have been deregistered explicitly, because of gateway-managed session affinity and continues to be proxied to the deregistering instances.

Para obter mais informações, consulte a visão geral da configuração do Gateway de aplicações.For more information, see Application Gateway Configuration Overview.

Páginas de erro personalizadasCustom error pages

O Gateway de Aplicação permite-lhe criar páginas de erro personalizadas, em vez de apresentar as páginas de erro predefinidas.Application Gateway allows you to create custom error pages instead of displaying default error pages. Pode utilizar a sua própria imagem e esquema corporativos através de uma página de erro personalizada.You can use your own branding and layout using a custom error page.

Para mais informações, consulte Erros Personalizados.For more information, see Custom Errors.

Rescrever cabeçalhos HTTP e URLRewrite HTTP headers and URL

Os cabeçalhos HTTP permitem ao cliente e ao servidor passar informações adicionais com o pedido ou a resposta.HTTP headers allow the client and server to pass additional information with the request or the response. Reescrever estes cabeçalhos HTTP ajuda-o a realizar vários cenários importantes, tais como:Rewriting these HTTP headers helps you accomplish several important scenarios, such as:

  • Adicionar campos de cabeçalho relacionados com segurança como HSTS/ X-XSS-Protection.Adding security-related header fields like HSTS/ X-XSS-Protection.
  • Remover campos de cabeçalho de resposta que podem revelar informações sensíveis.Removing response header fields that can reveal sensitive information.
  • Despojando informações portuárias de cabeçalhos X-Forwarded-For.Stripping port information from X-Forwarded-For headers.

O Gateway de Aplicação e o SKU da WAF v2 suportam a capacidade de adicionar, remover ou atualizar cabeçalhos de pedido e de resposta HTTP, enquanto os pacotes de pedido e de resposta se movem entre os conjuntos de cliente e back-end.Application Gateway and WAF v2 SKU supports the capability to add, remove, or update HTTP request and response headers, while the request and response packets move between the client and back-end pools. Também pode reescrever os URLs, os parâmetros de cadeia de consulta e o nome do anfitrião.You can also rewrite URLs, query string parameters and host name. Com a reescrita de URLs e o encaminhamento baseado em caminhos de URLs, pode escolher encaminhar pedidos para um dos conjuntos de back-end com base no caminho original ou no caminho reescrito ao utilizar a opção Reavaliar mapa do caminho.With URL rewrite and URL path-based routing, you can choose to either route requests to one of the backend pools based on the original path or the rewritten path, using the re-evaluate path map option.

Além disso, permite-lhe adicionar condições para garantir que os cabeçalhos ou URLs especificados são reescritos apenas quando forem cumpridas determinadas condições.It also provides you with the capability to add conditions to ensure the specified headers or URL are rewritten only when certain conditions are met. Estas condições baseiam-se nas informações do pedido e da resposta.These conditions are based on the request and response information.

Para obter mais informações, consulte os cabeçalhos HTTP e URL.For more information, see Rewrite HTTP headers and URL.

DimensionamentoSizing

O Gateway de aplicação Standard_v2 pode ser configurado para implantações de autoscaling ou de tamanho fixo.Application Gateway Standard_v2 can be configured for autoscaling or fixed size deployments. O V2 SKU não oferece diferentes tamanhos de instância.The v2 SKU doesn't offer different instance sizes. Para obter mais informações sobre o desempenho e preços v2, consulte o preço de Autoscaling V2 e Understanding.For more information on v2 performance and pricing, see Autoscaling V2 and Understanding pricing.

A Aplicação Gateway Standard (v1) é oferecida em três tamanhos: Pequeno, Médioe Grande.The Application Gateway Standard (v1) is offered in three sizes: Small, Medium, and Large. Os tamanhos de instâncias pequenas destinam-se a cenários de testes e desenvolvimento.Small instance sizes are intended for development and testing scenarios.

Para obter uma lista completa dos limites do gateway de aplicação, veja limites do serviço Gateway de Aplicação.For a complete list of application gateway limits, see Application Gateway service limits.

A tabela a seguir mostra uma produção média para cada instância de gateway v1 de aplicação com descarregamento SSL ativado:The following table shows an average performance throughput for each application gateway v1 instance with SSL offload enabled:

Tamanho médio de resposta de página de back-endAverage back-end page response size PequenoSmall MédioMedium GrandeLarge
6 KB6 KB 7.5 Mbps7.5 Mbps 13 Mbps13 Mbps 50 Mbps50 Mbps
100 KB100 KB 35 Mbps35 Mbps 100 Mbps100 Mbps 200 Mbps200 Mbps

Nota

Estes valores são valores aproximados para um débito de gateway de aplicação.These values are approximate values for an application gateway throughput. O débito real depende de vários detalhes de ambiente, como o tamanho médio da página, a localização das instâncias de back-end e o tempo de processamento para servir uma página.The actual throughput depends on various environment details, such as average page size, location of back-end instances, and processing time to serve a page. Para números de desempenho exatos, deve executar o seus próprios testes.For exact performance numbers, you should run your own tests. Estes valores são fornecidos apenas para a capacidade orientação de planeamento.These values are only provided for capacity planning guidance.

Comparação de recursos de versãoVersion feature comparison

Para uma comparação de funcionalidades de gateway de aplicação v1-v2, consulte Autoscaling e Zone-redundante Application Gateway v2For an Application Gateway v1-v2 feature comparison, see Autoscaling and Zone-redundant Application Gateway v2

Passos seguintesNext steps