Vad är Azure Application Gateway v2?
Application Gateway är tillgängligt under en Standard_v2 SKU. Web Application Firewall (WAF) är tillgänglig under en WAF_v2 SKU. V2 SKU erbjuder prestandaförbättringar och ger stöd för viktiga nya funktioner som autoskalning, zonredundans och stöd för statiska VIP-adresser. Befintliga funktioner under SKU:n Standard och WAF fortsätter att stödjas i den nya V2 SKU:n, med några undantag som anges i jämförelseavsnittet .
Den nya V2 SKU:n innehåller följande förbättringar:
TCP/TLS-proxy (förhandsversion): Azure Application Gateway stöder nu även layer 4-protokoll (TCP-protokoll) och TLS-proxy (Transport Layer Security). Den här funktionen är för närvarande i allmänt tillgänglig förhandsversion. Mer information finns i Översikt över Application Gateway TCP/TLS-proxy.
Autoskalning: Application Gateway- eller WAF-distributioner under autoskalnings-SKU:n kan skalas ut eller in baserat på ändrade trafikbelastningsmönster. Automatisk skalning tar även bort behovet av att välja distributionsstorlek eller instansantal under etablering. Denna SKU innehåller verklig elasticitet. I Standard_v2 och WAF_v2 SKU kan Application Gateway användas i både fast kapacitet (autoskalning inaktiverat) och i ett aktiverat autoskalningsläge. Läget för fast kapacitet är användbart för scenarier med konsekventa och förutsägbara arbetsbelastningar. Autoskalningsläget är användbart i program som upptäcker skillnader i programtrafiken.
Zonredundans: En Application Gateway- eller WAF-distribution kan sträcka sig över flera Tillgänglighetszoner, vilket tar bort behovet av att etablera separata Application Gateway-instanser i varje zon med en Traffic Manager. Du kan välja en zon eller flera zoner där Application Gateway-instanser distribueras, vilket gör den mer motståndskraftig mot zonfel. Serverdelspoolen för program kan distribueras på samma sätt mellan tillgänglighetszoner.
Zonredundans är endast tillgängligt där Azure-zoner är tillgängliga. I andra regioner stöds alla andra funktioner. Mer information finns i Regioner och Tillgänglighetszoner i Azure
Statisk VIP: Application Gateway v2 SKU stöder endast den statiska VIP-typen. Detta säkerställer att DEN VIP som är associerad med programgatewayen inte ändras under distributionens livscykel, även efter en omstart. Det finns ingen statisk VIP i v1, så du måste använda url:en för programgatewayen i stället för IP-adressen för att dirigera App Services via programgatewayen.
Sidhuvudomskrivning: Med Application Gateway kan du lägga till, ta bort eller uppdatera HTTP-begärande- och svarshuvuden med v2 SKU. Mer information finns i Skriva om HTTP-huvuden med Application Gateway
Key Vault-integrering: Application Gateway v2 stöder integrering med Key Vault för servercertifikat som är anslutna till HTTPS-aktiverade lyssnare. Läs mer i TLS-avslutning med Key Vault-certifikat.
Ömsesidig autentisering (mTLS): Application Gateway v2 stöder autentisering av klientbegäranden. Mer information finns i Översikt över ömsesidig autentisering med Application Gateway.
Azure Kubernetes Service Ingress Controller: Application Gateway v2 Ingress Controller tillåter att Azure Application Gateway används som ingress för en Azure Kubernetes Service (AKS) som kallas AKS-kluster. Mer information finns i Vad är Application Gateway Ingress Controller.
Privat länk: V2 SKU:n erbjuder privat anslutning från andra virtuella nätverk i andra regioner och prenumerationer med hjälp av privata slutpunkter.
Prestandaförbättringar: V2 SKU erbjuder upp till 5X bättre TLS-avlastningsprestanda jämfört med Standard/WAF SKU.
Snabbare distributions- och uppdateringstid: V2 SKU ger snabbare distributions- och uppdateringstid jämfört med Standard/WAF SKU. Detta inkluderar även WAF-konfigurationsändringar.
Regioner som inte stöds
SKU:n Standard_v2 och WAF_v2 är för närvarande inte tillgänglig i följande regioner:
- Storbritannien, norra
- Storbritannien, södra 2
- Kina, östra
- Kina, norra
- USA DOD, östra
- US DOD Central
Prissättning
Med V2 SKU baseras prismodellen på förbrukning. Den är inte längre kopplad till antal instanser eller storlekar. V2 SKU-prissättningen har två komponenter:
- Fast pris – Det här är ett pris per timme (eller delvis timme) för att etablera en Standard_v2 eller WAF_v2 Gateway. Det är viktigt att förstå att noll ytterligare minsta instanser fortfarande garanterar hög tillgänglighet för tjänsten och alltid ingår med fast pris.
- Kapacitetsenhetspris – Det här är en förbrukningsbaserad kostnad som debiteras utöver den fasta kostnaden. Debiteringen av kapacitetsenheter beräknas per timme eller delvis utnyttjade timmar. Kapacitetsenheter har tre aspekter: beräkningsenheter, beständiga anslutningar och dataflöde. Beräkningsenhet är ett mått på förbrukad processorkapacitet. TLS-anslutningar per sekund, beräkningar för omskrivning av webbadresser och bearbetning av WAF-regler är faktorer som påverkar beräkningsenheter. Beständiga anslutningar är ett mått på etablerade TCP-anslutningar till programgatewayen under ett visst faktureringsintervall. Dataflödet är genomsnittliga megabitar/sek som bearbetas av systemet under ett visst faktureringsintervall. Faktureringen görs på kapacitetsenhetsnivå för allt över antalet reserverade instanser.
Varje kapacitetsenhet består som mest av: 1 beräkningsenhet, 2 500 beständiga anslutningar och 2,22 Mbit/s-dataflöde.
Mer information finns i Förstå priser.
Funktionsjämförelse mellan v1 SKU och v2 SKU
I följande tabell jämförs de tillgängliga funktionerna med varje SKU.
| Funktion | v1 SKU | v2 SKU |
|---|---|---|
| Automatisk skalning | ✓ | |
| Zonredundans | ✓ | |
| Statisk VIP | ✓ | |
| Ingresskontrollant för Azure Kubernetes Service (AKS) | ✓ | |
| Azure Key Vault-integrering | ✓ | |
| Skriv om HTTP(S)-huvuden | ✓ | |
| Förbättrad nätverkskontroll (NSG, routningstabell, endast privat IP-klientdel) | ✓ | |
| URL-baserad routning | ✓ | ✓ |
| Värd för flera platser | ✓ | ✓ |
| Ömsesidig autentisering (mTLS) | ✓ | |
| Stöd för Private Link | ✓ | |
| Trafikomdirigering | ✓ | ✓ |
| Brandvägg för webbaserade program (WAF) | ✓ | ✓ |
| Anpassade WAF-regler | ✓ | |
| WAF-principassociationer | ✓ | |
| Transport Layer Security (TLS)/SSL-avslutning (Secure Sockets Layer) | ✓ | ✓ |
| TLS-kryptering från slutpunkt till slutpunkt | ✓ | ✓ |
| Sessionstillhörighet | ✓ | ✓ |
| Anpassade felsidor | ✓ | ✓ |
| WebSocket-stöd | ✓ | ✓ |
| Stöd för HTTP/2 | ✓ | ✓ |
| Anslutningstömning | ✓ | ✓ |
| Proxy-NTLM-autentisering | ✓ | |
| Sökvägsbaserad regelkodning | ✓ | |
| DHE-chiffer | ✓ |
Kommentar
SKU:n för automatisk skalning v2 stöder nu standardhälsoavsökningar för att automatiskt övervaka hälsotillståndet för alla resurser i serverdelspoolen och markera de serverdelsmedlemmar som anses vara felaktiga. Standardhälsoavsökningen konfigureras automatiskt för serverdelar som inte har någon anpassad avsökningskonfiguration. Mer information finns i hälsoavsökningar i programgatewayen.
Skillnader från V1 SKU
I det här avsnittet beskrivs funktioner och begränsningar för V2 SKU som skiljer sig från V1-SKU:n.
| Differens | Details |
|---|---|
| Blanda Standard_v2 och Standard Application Gateway i samma undernät | Stöds inte |
| Användardefinierad väg (UDR) i Application Gateway-undernät | Information om scenarier som stöds finns i Översikt över Application Gateway-konfiguration. |
| NSG för inkommande portintervall | - 65200 till 65535 för Standard_v2 SKU - 65503 till 65534 för Standard SKU. Krävs inte för v2 SKU:er i offentlig förhandsversion Läs mer. Mer information finns i vanliga frågor och svar. |
| Prestandaloggar i Azure-diagnostik | Stöds ej. Azure-mått bör användas. |
| FIPS-läge | Stöds inte för närvarande. |
| Läge för endast privat klientdelskonfiguration | För närvarande i offentlig förhandsversion Läs mer. |
| Sökvägsbaserad regelkodning | Stöds ej. V2 avkodar sökvägar före routning. V2 behandlar /abc%2Fdef till exempel samma sak som /abc/def. |
| Segmenterad filöverföring | I konfigurationen Standard_V2 inaktiverar du buffring av begäranden för att stödja segmenterad filöverföring. I WAF_V2 är det inte möjligt att inaktivera buffring av begäranden eftersom den måste titta på hela begäran för att identifiera och blockera eventuella hot. Det föreslagna alternativet är därför att skapa en sökvägsregel för den berörda URL:en och koppla en inaktiverad WAF-princip till den sökvägsregeln. |
| Cookietillhörighet | Aktuell V2 har inte stöd för att lägga till domänen i set-cookien för sessionstillhörighet, vilket innebär att cookien inte kan användas av klienten för underdomänerna. |
| Microsoft Defender för molnet integrering | Inte tillgänglig än. |
Migrera från v1 till v2
Ett Azure PowerShell-skript finns i PowerShell-galleriet som hjälper dig att migrera från din v1 Application Gateway/WAF till V2 Autoscaling SKU. Det här skriptet hjälper dig att kopiera konfigurationen från din v1-gateway. Trafikmigrering är fortfarande ditt ansvar. Mer information finns i Migrera Azure Application Gateway från v1 till v2.
Nästa steg
Beroende på dina krav och din miljö kan du skapa en test-Application Gateway med antingen Azure-portalen, Azure PowerShell eller Azure CLI.