Azure Application Gateway funktioner
Azure Application Gateway är en lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbprogram.
Application Gateway innehåller följande funktioner:
- Secure Sockets Layer (SSL/TLS)
- Automatisk skalning
- Zonredundans
- Statisk VIP
- Brandvägg för webbaserade program
- Ingress-kontrollant för AKS
- URL-baserad routning
- Värd för flera platser
- Omdirigering
- Sessionstillhörighet
- Websocket- och HTTP/2-trafik
- Anslutningstömning
- Anpassade felsidor
- Skriva om HTTP-huvuden och URL
- Storlekar
Secure Sockets Layer (SSL/TLS)
Application Gateway stöder SSL/TLS-avslutning vid gatewayen, varpå trafiken vanligtvis flödar okrypterat till backend-servrarna. Den här funktionen bidrar till att befria webbservrarna från kostsam kryptering och dekryptering. Men ibland är okrypterad kommunikation till servrarna inte ett acceptabelt alternativ. Detta kan vara på grund av säkerhetskrav, efterlevnadskrav eller att programmet bara accepterar en säker anslutning. För dessa program stöder Application Gateway slutpunkt-till-slutpunkt SSL/TLS-kryptering.
Mer information finns i Översikt över SSL-avslutning och SSL från Application Gateway
Automatisk skalning
Application Gateway Standard_v2 har stöd för automatisk skalning och kan skalas upp eller ned baserat på ändrade mönster för trafikbelastning. Automatisk skalning tar även bort behovet av att välja distributionsstorlek eller instansantal under etablering.
Mer information om Application Gateway Standard_v2 finns i Autoskalning v2 SKU.
Zonredundans
En Standard_v2 Application Gateway kan sträcka sig över flera Tillgänglighetszoner, vilket ger bättre felåter återhämtning och tar bort behovet av att etablera separata Application Gateways i varje zon.
Statisk VIP
Application Gateway-SKU Standard_v2 stöder endast statisk VIP-typ. Detta säkerställer att den VIP som är associerad med Application Gateway inte ändras ens under livslängden för Application Gateway.
Brandvägg för webbaserade program
Web Application Firewall (WAF) är en tjänst som ger ett centraliserat skydd av dina webbprogram mot vanliga kryphål och sårbarheter. WAF baseras på regler från OWASP(Open Web Application Security Project) core rule sets 3.1 (endast WAF_v2), 3.0 och 2.2.9.
Webbprogram blir i allt större utsträckning föremål för attacker där kända svagheter i programmen utnyttjas. Bland annat är SQL-inmatningsattacker och skriptangrepp mellan webbplatser vanliga. Det kan vara svårt att förhindra sådana attacker i programkoden och kräver ofta omfattande underhåll, korrigeringar och övervakning av många skikt i programtopologin. Med en centraliserad brandvägg för webbaserade program blir det enklare att hantera säkerheten och programadministratörer får bättre möjligheter skydda mot intrång. En brandväggslösning för webbaserade program kan även reagera snabbare på ett säkerhetshot genom att åtgärda en känd svaghet på en central plats jämfört med om korrigeringar ska utföras i varje enskilt webbprogram. Befintliga programgatewayer kan enkelt konverteras till en Web Application Firewall aktiverad programgateway.
Mer information finns i Vad är Azure Web Application Firewall?.
Ingress-kontrollant för AKS
Application Gateway Ingress Controller (AGIC) gör att du kan använda Application Gateway som ingress för ett Azure Kubernetes Service-kluster (AKS).
Ingress-kontrollanten körs som en podd i AKS-klustret och förbrukar Kubernetes ingress-resurser och konverterar dem till en Application Gateway-konfiguration, vilket gör att gatewayen kan belastningsutjämna trafik till Kubernetes-poddarna. Ingress-kontrollanten stöder endast Application Gateway Standard_v2 och WAF_v2 SKU:er.
Mer information finns i Application Gateway Ingress Controller (AGIC).
URL-baserad routning
URL-sökvägsbaserad routning låter dig routa trafik till serverdels-serverpooler baserat på URL-sökvägen till begäranden. Ett av scenarierna är att dirigera begäranden för olika innehållstyper till olika pooler.
Till exempel dirigeras begäranden för http://contoso.com/video/* till VideoServerPool och http://contoso.com/images/* dirigeras till ImageServerPool. DefaultServerPool väljs om inget av sökvägsmönstren matchar.
Mer information finns i Översikt över URL-sökvägsbaserad routning.
Värd för flera platser
Med Application Gateway kan du konfigurera routning baserat på värdnamn eller domännamn för mer än en webbapp på samma programgateway. Den här funktionen gör att du kan konfigurera en mer effektiv topologi för dina distributioner genom att lägga till fler än 100 webbplatser i samma appgateway. Varje webbplats kan dirigeras till en egen serverdelspool. Tänk dig till exempel att de tre domänerna contoso.com, fabrikam.com och adatum.com pekar på appgatewayens IP-adress. Du skapar tre lyssnare för flera platser och konfigurerar varje lyssnare enligt respektive inställningar för port och protokoll.
Begäranden för http://contoso.com dirigeras till ContosoServerPool, http://fabrikam.com dirigeras till FabrikamServerPool och så vidare.
På samma sätt kan två underdomäner i samma överordnade domän finnas på samma distribution av en programgateway. Exempel på användning av underdomäner kan vara http://blog.contoso.com och http://app.contoso.com på samma distribution av en programgateway. Mer information finns i Application Gateway värdtjänster för flera webbplatser.
Du kan också definiera värdnamn med jokertecken i lyssnare för flera platser och upp till 5 värdnamn per lyssnare. Mer information finns i värdnamn med jokertecken i lyssnaren.
Omdirigering
Ett vanligt scenario för många webbappar är att stödja automatisk HTTP till HTTPS-omdirigering för att säkerställa att all kommunikation mellan en app och dess användare sker via en krypterad sökväg.
Tidigare kanske du har använt tekniker som skapande av dedikerad pool vars enda syfte är att omdirigera begäranden som tas emot via HTTP till HTTPS. Application Gateway stöder möjligheten att omdirigera trafik på programgatewayen. Detta förenklar programkonfigurationen, optimerar resursanvändningen och stöder nya omdirigeringsscenarier, inklusive global och sökvägsbaserade omdirigering. Application Gateway stöd för omdirigering är inte begränsat till enbart HTTP till HTTPS-omdirigering. Det här är en allmän mekanism för omdirigering, så du kan omdirigera från och till valfri port som du anger med regler. Den har även stöd för omdirigering till en extern plats.
Stöd för Application Gateway-stöd har följande funktioner:
- Global omdirigering från en port till en annan port på gatewayen. Det möjliggör HTTP till HTTPS-omdirigering på en webbplats.
- Sökvägsbaserad omdirigering. Den här typen av omdirigering möjliggör bara HTTP till HTTPS-omdirigering på ett specifikt webbplatsområde, till exempel en kundvagn som betecknas av
/cart/*. - Omdirigera till en extern webbplats.
Mer information finns i översikten Application Gateway omdirigering.
Sessionstillhörighet
Den cookie-baserade sessionstillhörighetsfunktionen är användbar när du vill behålla en användarsession på samma server. Genom att använda gatewayhanterade cookies kan Application Gateway dirigera efterföljande trafik från en användarsession till samma serverdel för bearbetning. Det här är viktigt i de fall där sessionstillstånd har sparats lokalt på servern för en användarsession.
Mer information finns i Så här fungerar en programgateway.
Websocket- och HTTP/2-trafik
Application Gateway har inbyggt stöd för WebSocket- och HTTP/2-protokoll. Det finns inga inställningar som kan konfigureras av användaren för att selektivt aktivera eller inaktivera WebSocket-stöd.
WebSocket- och HTTP/2-protokollen aktiverar full duplex-kommunikation mellan en server och en klient över en tidskrävande TCP-anslutning. Det här tillåter en mer interaktiv kommunikation mellan webbservern och klienten, som kan vara dubbelriktad utan att behöva avsökning som krävs i HTTP-baserade implementeringar. Dessa protokoll har låg belastning, till skillnad från HTTP, och kan återanvända samma TCP-anslutning för flera begäranden/svar, vilket resulterar i en effektivare resursanvändning. Dessa protokoll är utformade att fungera via de traditionella HTTP-portarna 80 och 443.
Mer information finns i WebSocket-stöd och HTTP/2-stöd.
Anslutningstömning
Anslutningstömning hjälper dig att få korrekt borttagning av medlemmar i serverdelspoolen under planerade serviceuppdateringar. Den här inställningen aktiveras via serverdelens http-inställning och kan tillämpas på alla medlemmar i en serverdelspool i samband med regelskapandet. När den Application Gateway aktiverats ser Application Gateway alla avregistreringsinstanser av en backend-pool inte får någon ny begäran samtidigt som befintliga begäranden kan slutföras inom en konfigurerad tidsgräns. Detta gäller för både serverinstanser som uttryckligen tas bort från serverpoolen av en ändring av användarkonfigurationen och serverinstanser som rapporteras som felaktiga enligt hälsoavsökningarna. Det enda undantaget till detta är begäranden som är bundna för avregistrering av instanser, som uttryckligen har avregistrerats på grund av gateway-hanterad sessionstillhörighet och fortsätter att vara proxyfördelade till avregistreringsinstanserna.
Mer information finns i Application Gateway Översikt över konfiguration.
Anpassade felsidor
Med Application Gateway kan du skapa anpassade felsidor i stället för att visa standardmässiga felsidor. Du kan använda din egen varumärkesanpassning och layout med hjälp av en anpassad felsida.
Mer information finns i Anpassade fel.
Skriva om HTTP-huvuden och URL
MED HTTP-huvuden kan klienten och servern skicka ytterligare information med begäran eller svaret. Genom att skriva om dessa HTTP-huvuden kan du utföra flera viktiga scenarier, till exempel:
- Lägga till säkerhetsrelaterade huvudfält som HSTS/X-XSS-Protection.
- Ta bort svarshuvudfält som kan avslöja känslig information.
- Ta bort portinformation från X-Forwarded-For-huvuden.
Med Application Gateway och WAF v2-SKU kan du lägga till, ta bort eller uppdatera huvudena för HTTP-begäran och HTTP-svar när begäran- och svarspaketen flyttas mellan klientens och serverdelens pooler. Du kan också skriva om URL:er, frågesträngsparametrar och värdnamn. Med URL-omskrivning och URL-baserad routning kan du välja att antingen dirigera begäranden till en av backend-poolerna baserat på den ursprungliga sökvägen eller den omskrivna sökvägen med hjälp av alternativet för att utvärdera sökvägskartan igen.
Det ger dig också möjlighet att lägga till villkor så att de angivna huvudena eller URL bara skrivs om när vissa villkor uppfylls. Dessa villkor baseras på informationen för begäran och svar.
Mer information finns i Skriva om HTTP-huvuden och URL: er.
Storlekar
Application Gateway Standard_v2 kan konfigureras för distributioner med automatisk skalning eller fast storlek. V2-SKU:n erbjuder inte olika instansstorlekar. Mer information om prestanda och priser för v2 finns i Autoskalning V2 och Förstå priser.
Standard Application Gateway (v1) finns i tre storlekar: Liten, Medel och Stor. Smål instansstorlekar är avsedda för utvecklings- och testningsscenarier.
En fullständig lista över gränserna för programgateways finns i avsnittet om gränser för Application Gateway-tjänsten.
I följande tabell visas ett genomsnittligt prestandagenomflöde för varje Application Gateway v1-instans med SSL-avlastning aktiverad:
| Genomsnittligt sidsvarsstorlek för serverdel | Liten | Medel | Stor |
|---|---|---|---|
| 6 kB | 7.5 Mbit/s | 13 Mbit/s | 50 Mbit/s |
| 100 kB | 35 Mbit/s | 100 Mbit/s | 200 Mbit/s |
Anteckning
De här värdena är genomsnittliga värden för ett Application Gateway-dataflöde. Det faktiska dataflödet beror på olika miljöfaktorer som genomsnittlig sidstorlek, plats för serverdelsinstanserna och bearbetningstid för att serva en sida. Du bör köra egna test för exakta prestandavärden. Dessa värden är bara för vägledning vid kapacitetsplanering.
Jämförelse av versionsfunktionen
En jämförelse Application Gateway v1-v2-funktioner finns i Autoskalning och Zonredundant Application Gateway v2
Nästa steg
- Lär dig Application Gateway fungerar – Så här fungerar en programgateway