Что такое Шлюз приложений Azure версии 2?
Шлюз приложений доступен с ценовой категорией SKU Standard_v2. Брандмауэр веб-приложения (WAF) предоставляется с новой ценовой категорией SKU WAF_v2. SKU версии 2 обеспечивает повышение производительности и добавляет поддержку для важных новых функций, таких как автоматическое масштабирование, избыточность между зонами и поддержка статических виртуальных IP-адресов. Новый SKU Standard и WAF версии 2 продолжает поддерживать существующие функции за несколькими исключениями, перечисленными в разделе сравнения.
Новый SKU версии 2 включает следующие усовершенствования.
Прокси-сервер TCP/TLS (предварительная версия): Шлюз приложений Azure теперь также поддерживает прокси-сервер уровня 4 (протокол TCP) и прокси-сервер TLS (транспортный уровень безопасности). Эта функция сейчас доступна в виде общедоступной предварительной версии. Дополнительные сведения см. в Шлюз приложений обзор прокси-сервера TCP/TLS.
Автомасштабирование. Шлюз приложений или развертывания WAF в ценовой категории с автомасштабированием будут изменять свой масштаб в соответствии с изменениями в объеме трафика. Кроме того, автоматическое масштабирование позволяет не выбирать размер развертывания или количество экземпляров во время подготовки. Этот SKU дает действительно большую гибкость. В SKU Standard_v2 и WAF_v2 Шлюз приложений может работать как с фиксированной емкостью (отключенным автоматическим масштабированием), так и с включенным автоматическим масштабированием. Режим фиксированной емкости подходит для сценариев с постоянной, предсказуемой рабочей нагрузкой. Режим автоматического масштабирования целесообразно использовать в тех приложениях, где трафик сильно меняется.
Избыточность зоны. Развертывание Шлюз приложений или WAF может охватывать несколько Зоны доступности, удаляя необходимость подготовки отдельных экземпляров Шлюз приложений в каждой зоне с Диспетчер трафика. Можно выбрать одну или несколько зон, где развертываются экземпляры Шлюза приложений, и обеспечить большую устойчивость зон к сбоям. Внутренний пул приложений можно аналогичным образом распределить по зонам доступности.
Избыточность между зонами доступна только там, где доступны Зоны Azure. В других регионах поддерживаются все остальные функции. Дополнительные сведения см. в статье Регионы и Зоны доступности в Azure.
Статический ВИРТУАЛЬНЫЙ IP-адрес: Шлюз приложений номер SKU версии 2 поддерживает исключительно статический тип ВИРТУАЛЬНЫх IP-адресов. Это гарантирует, что виртуальный IP-адрес, связанный со Шлюзом приложений, не изменится в течение жизненного цикла развертывания даже после перезапуска. В версии 1 отсутствует статический ВИРТУАЛЬНЫЙ IP-адрес, поэтому вместо IP-адреса необходимо использовать URL-адрес шлюза приложений для маршрутизации Служба приложений через шлюз приложений.
Перезапись заголовков: Шлюз приложений позволяет добавлять, удалять или обновлять заголовки HTTP-запросов и ответов с помощью SKU версии 2. Дополнительные сведения см. в статье Перезапись HTTP-заголовков с помощью Шлюза приложений.
Интеграция Key Vault: Шлюз приложений версии 2 поддерживает интеграцию с Key Vault для сертификатов сервера, подключенных к прослушивателям с поддержкой HTTPS. Дополнительные сведения см. в статье о завершении TLS-подключений с использованием сертификатов из Key Vault.
Взаимная проверка подлинности (mTLS): Шлюз приложений версии 2 поддерживает проверку подлинности клиентских запросов. Дополнительные сведения см. в разделе "Обзор взаимной проверки подлинности с помощью Шлюз приложений".
Служба Azure Kubernetes контроллер входящего трафика: контроллер входящего трафика версии Шлюз приложений версии 2 позволяет использовать Шлюз приложений Azure в качестве входящего трафика для Служба Azure Kubernetes (AKS), известного как кластер AKS. Дополнительные сведения см. в разделе "Что такое Шлюз приложений контроллер входящего трафика".
Приватный канал. Номер SKU версии 2 обеспечивает частное подключение из других виртуальных сетей в других регионах и подписках с помощью частных конечных точек.
Улучшения производительности. Номер SKU версии 2 обеспечивает более высокую производительность разгрузки TLS до 5X по сравнению с номером SKU standard/WAF.
Более быстрое развертывание и обновление. SKU версии 2 обеспечивает более быстрое развертывание и обновление по сравнению со SKU уровня "Стандартный" и WAF. Сюда также входят изменения конфигурации WAF.
Неподдерживаемые регионы
Номер SKU Standard_v2 и WAF_v2 в настоящее время недоступен в следующих регионах:
- Северная часть Соединенного Королевства
- Южная часть Соединенного Королевства 2
- Восточный Китай
- Северный Китай
- Восточный регион US DoD
- Центральная часть US DoD
Цены
С номером SKU версии 2 модель ценообразования основана на потреблении. Он больше не подключен к количеству экземпляров или размерам. Цена SKU версии 2 состоит из двух компонентов:
- Фиксированная цена — это почасовая (или частичное) цена для подготовки Standard_v2 или шлюза WAF_v2. Важно понимать, что ноль дополнительных минимальных экземпляров по-прежнему обеспечивает высокий уровень доступности службы и всегда включается в фиксированную цену.
- Цена за единицы емкости. Это стоимость на основе потребления, которая начисляется в дополнение к фиксированным затратам. Плата за единицы емкости начисляется за каждый час или за неполный час. В единице емкости учитывается три показателя: единица вычислений, постоянные подключения и пропускная способность. Единица вычислений — это показатель потребленной емкости процессора. Факторы, влияющие на этот показатель: число TLS-подключений в секунду, вычисление перезаписи URL-адресов и обработка правил WAF. Постоянные подключения — это показатель установленных TCP-подключений к Шлюзу приложений в заданном платежном периоде. Пропускная способность — это среднее значение Мбит/с, обработанное системой в заданном платежном периоде. Выставление счетов выполняется на уровне единиц емкости за все, что превышает количество зарезервированных экземпляров.
Каждая единица емкости содержит не более 1 единицы вычислений, 2500 постоянных подключений и 2,22 Мбит/с пропускной способности.
Дополнительные сведения см. в разделе Основные сведения о ценах.
Сравнение функций SKU версий 1 и 2
В следующей таблице перечислены функции, доступные в каждом SKU.
| Функция | SKU версии 1 | SKU версии 2 |
|---|---|---|
| Автомасштабирование | ✓ | |
| Избыточность между зонами | ✓ | |
| Статический виртуальный IP-адрес | ✓ | |
| Контроллер входящего трафика Службы Azure Kubernetes | ✓ | |
| Интеграция с Azure Key Vault | ✓ | |
| Перезапись заголовков HTTP(S) | ✓ | |
| Расширенный сетевой элемент управления (NSG, таблица маршрутов, только внешний IP-адрес частного IP-адреса) | ✓ | |
| Маршрутизация на основе URL-адреса | ✓ | ✓ |
| Размещение нескольких сайтов | ✓ | ✓ |
| Взаимная проверка подлинности (mTLS) | ✓ | |
| Поддержка Приватного канала | ✓ | |
| Перенаправление трафика | ✓ | ✓ |
| Web Application Firewall (WAF) | ✓ | ✓ |
| Настраиваемые правила WAF | ✓ | |
| Связи политик WAF | ✓ | |
| Завершение запросов TLS/SSL | ✓ | ✓ |
| Сквозное шифрование TLS | ✓ | ✓ |
| Сходство сеансов | ✓ | ✓ |
| Пользовательские страницы ошибок | ✓ | ✓ |
| Поддержка WebSocket | ✓ | ✓ |
| Поддержка HTTP/2 | ✓ | ✓ |
| Сток подключений | ✓ | ✓ |
| Проверка подлинности NTLM прокси-сервера | ✓ | |
| Кодировка правил на основе пути | ✓ | |
| Шифры DHE | ✓ |
Примечание.
SKU автомасштабирования версии 2 теперь поддерживает пробы работоспособности по умолчанию для автоматического отслеживания работоспособности всех ресурсов в серверном пуле и выделения этих элементов серверной части, которые считаются неработоспособными. Стандартная проверка работоспособности автоматически настраивается для серверных систем, для которых отсутствует пользовательская конфигурация проверки. Дополнительные сведения см. в статье о проверках работоспособности на шлюзе приложений.
Отличия от SKU версии 1
В этом разделе описываются функции и ограничения SKU версии 2, отличные от SKU версии 1.
| Расхождение | Сведения |
|---|---|
| Смешанное использование Standard_v2 и Шлюза приложений (цен. категория "Стандартный") в той же подсети | Не поддерживается |
| Маршрут, определяемый пользователем в подсети Шлюза приложений | Сведения о поддерживаемых сценариях см. в Шлюз приложений обзоре конфигурации. |
| NSG для диапазона портов входящего трафика | – 65200 до 65535 для SKU Standard_v2. – 65503 до 65534 для SKU (цен. категория "Стандартный"). Дополнительные сведения не требуются для номеров SKU версии 2 в общедоступной предварительной версии. Дополнительные сведения см. в разделе Часто задаваемые вопросы. |
| Журналы производительности в системе диагностики Azure | Не поддерживается. Следует использовать метрики Azure. |
| Режим FIPS | В настоящее время не поддерживается. |
| Только режим настройки частного интерфейса | В настоящее время в общедоступной предварительной версии узнайте больше. |
| Кодировка правил на основе пути | Не поддерживается. Версия 2 декодирует пути перед маршрутизацией. Например, версия 2 обрабатывает /abc%2Fdef то же самое, что /abc/defи . |
| Передача фрагментированных файлов | В конфигурации Standard_V2 отключите буферизацию запросов для поддержки передачи фрагментированных файлов. В WAF_V2 отключение буферизации запросов невозможно, так как он должен просмотреть весь запрос для обнаружения и блокировки угроз. Поэтому рекомендуемая альтернатива заключается в создании правила пути для затронутого URL-адреса и присоединении отключенной политики WAF к этому правилу пути. |
| Сходство файлов cookie | Текущая версия 2 не поддерживает добавление домена в сеансов сходства Set-Cookie, что означает, что файл cookie не может использоваться клиентом для поддоменов. |
| Интеграция с Microsoft Defender для облака | Пока недоступно. |
Миграция из версии 1 в версию 2
В коллекции PowerShell доступен скрипт Azure PowerShell доступен, который поможет выполнить миграцию из Шлюза приложений или WAF версии 1 в SKU версии 2 с поддержкой автомасштабирования. Этот скрипт поможет скопировать конфигурацию со шлюза версии 1. За миграцию трафика по-прежнему отвечаете вы. Дополнительные сведения см. в статье Миграция Шлюза приложений Azure с версии 1 на версию 2.
Следующие шаги
В зависимости от требований и среды тестовый шлюз приложений можно создать с помощью портала Azure, Azure PowerShell или Azure CLI: