Was ist Azure Application Gateway v2?
Application Gateway v2 ist die neueste Version von Application Gateway. Sie bietet Vorteile gegenüber Application Gateway v1, z. B. Leistungsverbesserungen, automatische Skalierung, Zonenredundanz und statische VIPs.
Wichtig
Wir haben am 28. April 2023 das Ende von Application Gateway v1 angekündigt. Wenn Sie die v1-SKU von Application Gateway verwenden, beginnen Sie jetzt mit der Planung der Migration zu v2, und schließen Sie Ihre Migration zu Application Gateway v2 bis zum 28. April 2026 ab. Nach diesem Datum wird der v1-Dienst nicht mehr unterstützt.
Wichtige Funktionen
Die v2-SKU enthält die folgenden Verbesserungen:
TCP/TLS-Proxy (Vorschau): Azure Application Gateway unterstützt jetzt auch Layer-4-Proxying (TCP-Protokoll) und TLS-Proxying (Transport Layer Security). Dieses Feature ist zurzeit als öffentliche Preview verfügbar. Weitere Informationen finden Sie unter Übersicht über den TCP/TLS-Proxy des Anwendungsgateways.
Automatische Skalierung: Für Application Gateway- oder WAF-Bereitstellungen unter der SKU mit automatischer Skalierung ist nun das Hochskalieren und Herunterskalieren je nach Veränderung der Netzwerkdatenverkehr-Auslastungsmuster möglich. Durch die automatische Skalierung entfällt auch die Notwendigkeit, während des Bereitstellens eine Bereitstellungsgröße oder eine Anzahl von Instanzen auszuwählen. Diese SKU bietet wahre Elastizität. In der Standard_v2- und WAF_v2-SKU kann Application Gateway sowohl mit fester Kapazität (Autoskalierung deaktiviert) als auch mit aktivierter Autoskalierung betrieben werden. Der Modus mit fester Kapazität empfiehlt sich für Szenarien mit einheitlichen und vorhersagbaren Workloads. Der Modus mit automatischer Skalierung empfiehlt sich für Anwendungen, bei denen der Anwendungsdatenverkehr Schwankungen unterworfen ist.
Zonenredundanz: Eine Application Gateway- oder WAF-Bereitstellung kann sich über mehrere Verfügbarkeitszonen erstrecken, sodass nicht mehr in jeder Zone mit einem Traffic Manager separate Application Gateway-Instanzen bereitgestellt werden müssen. Sie können eine einzelne Zone oder mehrere Zonen mit bereitgestellten Application Gateway-Instanzen auswählen, um für größere Stabilität gegenüber Zonenausfällen zu sorgen. Der Back-End-Pool für Anwendungen kann auf ähnliche Weise auf Verfügbarkeitszonen verteilt werden.
Zonenredundanz ist nur dort verfügbar, wo auch Azure-Zonen verfügbar sind. In anderen Regionen werden alle anderen Features unterstützt. Weitere Informationen finden Sie unter Was sind Verfügbarkeitszonen in Azure?.
Statische VIP: Die Application Gateway v2-SKU unterstützt exklusiv den statischen VIP-Typ. Durch statische VIPs wird sichergestellt, dass die dem Application Gateway zugeordnete VIP während des Lebenszyklus der Bereitstellung unverändert bleibt, selbst nach einem Neustart. Da v1 nicht über statische VIPs verfügt, müssen Sie für das Routing des Domänennamens an App Services über das Anwendungsgateway die Application Gateway-URL verwenden.
Erneutes Generieren von Headern: Application Gateway ermöglicht Ihnen das Hinzufügen, Entfernen oder Aktualisieren von HTTP-Anforderungs- und Antwortheadern mit dem v2-SKU. Weitere Informationen finden Sie unter Erneutes Generieren von HTTP-Headern mit Application Gateway.
Key Vault-Integration: Application Gateway v2 unterstützt die Integration in Key Vault für Serverzertifikate, die HTTPS-fähigen Listenern zugeordnet sind. Weitere Informationen finden Sie unter TLS-Terminierung mit Key Vault-Zertifikaten.
Gegenseitige Authentifizierung (mTLS): Application Gateway v2 unterstützt die Authentifizierung von Clientanforderungen. Weitere Informationen finden Sie unter Übersicht über die gegenseitige Authentifizierung mit Application Gateway.
Azure Kubernetes Service-Eingangscontroller: Der Application Gateway v2-Eingangscontroller ermöglicht die Verwendung von Azure Application Gateway als Eingang für einen Azure Kubernetes Service (AKS), der als AKS-Cluster bezeichnet wird. Weitere Informationen finden Sie unter Was ist der Application Gateway-Eingangscontroller?.
Privater Verbindung: Die v2-SKU bietet private Konnektivität von anderen virtuellen Netzwerken in anderen Regionen und Abonnements durch die Verwendung privater Endpunkte.
Leistungsverbesserungen: Die v2-SKU bietet eine bis zu fünfmal bessere TLS-Auslagerungsleistung verglichen mit der Standard-/WAF-SKU.
Schnellere Bereitstellung und Aktualisierung: Die v2-SKU ermöglicht verglichen mit der Standard/WAF-SKU eine schnellere Bereitstellung und Aktualisierung. Die kürzere Zeit umfasst auch Änderungen an der WAF-Konfiguration.
Hinweis
Einige der hier aufgeführten Funktionen sind vom SKU-Typ abhängig.
SKU-Typen
Application Gateway v2 ist in zwei SKUs erhältlich:
- Basic (Vorschau): Die Basic-SKU wurde für Anwendungen entwickelt, die geringere Anforderungen an Datenverkehr und SLA aufweisen und keine erweiterten Datenverkehrs-Verwaltungsfeatures benötigen. Informationen zum Registrieren für die Public Preview der Application Gateway-Basic-SKU finden Sie unter Registrieren für die Vorschauversion.
- Standard_v2-SKU: Die Standard_v2-SKU ist für die Ausführung von Produktionsworkloads und umfangreichem Datenverkehr ausgelegt. Sie enthält auch die automatische Skalierung, mit der die Anzahl der Instanzen automatisch an Ihre Datenverkehrsanforderungen angepasst werden kann.
In der folgenden Tabelle wird ein Vergleich zwischen Basic und Standard_v2 angezeigt.
| Funktion | Funktionen | Basic-SKU (Vorschau) | Standard-SKU |
|---|---|---|---|
| Zuverlässigkeit | SLA | 99,9 | 99,95 |
| Funktionalität – Basic | HTTP/HTTP2/HTTPS WebSocket Öffentliche/private IP-Adressen Cookie-Affinität Pfadbasierte Affinität Platzhalter Mehrere Standorte KeyVault AKS (über AGIC) Zone Erneutes Generieren von Headern |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
| Funktionalität – Advanced | URL Rewrite mTLS Private Link Nur privat1 TCP/TLS-Proxy |
✓ ✓ ✓ ✓ ✓ |
|
| Skalieren | Maximal Verbindungen pro Sekunde Anzahl von Listenern Anzahl von Back-End-Pools Anzahl von Back-End-Servern pro Pool Anzahl von Regeln |
2001 5 5 5 5 |
62.5001 100 100 1200 400 |
| Kapazitätseinheit | Verbindungen pro Sekunde pro Compute-Einheit Throughput Dauerhafte neue Verbindungen |
10 2,22 MBit/s 2.500 |
50 2,22 MBit/s 2.500 |
1Geschätzt basierend auf der Verwendung eines TLS-Zertifikats mit 2.048-Bit-RSA-Schlüssel.
Preiskalkulation
Bei der v2-SKU baut das Preismodell auf der Nutzung auf und ist nicht mehr an die Anzahl oder Größe von Instanzen gebunden. Weitere Informationen finden Sie unter Grundlegendes zu Preisen für Azure Application Gateway und Web Application Firewall.
Nicht unterstützte Regionen
Derzeit sind die SKUs Standard_v2 und WAF_v2 in den folgenden Regionen nicht verfügbar:
- China, Osten
- China, Norden
- US DoD, Osten
- US DoD, Mitte
Migrieren von v1 zu v2
Im PowerShell-Katalog ist ein Azure PowerShell-Skript verfügbar, mit dessen Hilfe Sie Ihr v1-Application Gateway / Ihre v1-WAF zur v2-SKU mit automatischer Skalierung migrieren können. Mithilfe dieses Skript können Sie die Konfiguration von Ihrem v1-Gateway kopieren. Die Datenverkehrsmigration liegt weiterhin in Ihrer Verantwortung. Weitere Informationen finden Sie unter Migrieren von Azure Application Gateway und Web Application Firewall von v1 zu v2.
Funktionsvergleich zwischen v1 SKU und v2 SKU
In der folgenden Tabelle werden die Features der einzelnen SKUs gegenübergestellt.
| Funktion | v1 SKU | v2 SKU |
|---|---|---|
| Automatische Skalierung | ✓ | |
| Zonenredundanz | ✓ | |
| Statische VIP | ✓ | |
| AKS-Eingangscontroller (Azure Kubernetes Service) | ✓ | |
| Azure-Schlüsseltresor-Integration | ✓ | |
| Erneutes Generieren von HTTP(S)-Headern | ✓ | |
| Erweiterte Netzwerksteuerung (nur NSG, Routingtabelle, nur private Front-End-IP-Adressen) | ✓ | |
| URL-basiertes Routing | ✓ | ✓ |
| Hosten mehrerer Websites | ✓ | ✓ |
| Gegenseitige Authentifizierung (mTLS) | ✓ | |
| Private Link-Unterstützung | ✓ | |
| Umleitung des Datenverkehrs | ✓ | ✓ |
| Web Application Firewall (WAF) | ✓ | ✓ |
| Benutzerdefinierte WAF-Regeln | ✓ | |
| WAF-Richtlinienzuordnungen | ✓ | |
| Beendigung mit TLS (Transport Layer Security)/SSL (Secure Sockets Layer) | ✓ | ✓ |
| End-to-End-TLS-Verschlüsselung | ✓ | ✓ |
| Sitzungsaffinität | ✓ | ✓ |
| Benutzerdefinierte Fehlerseiten | ✓ | ✓ |
| WebSocket-Unterstützung | ✓ | ✓ |
| HTTP/2-Unterstützung | ✓ | ✓ |
| Verbindungsausgleich | ✓ | ✓ |
| Proxy-NTLM-Authentifizierung | ✓ | |
| Pfadbasierte Regelcodierung | ✓ | |
| DHE-Verschlüsselungsverfahren | ✓ |
Hinweis
Die v2-SKU mit automatischer Skalierung unterstützt nun Standardintegritätstests, um die Integrität aller Ressourcen im Back-End-Pool automatisch zu überwachen und solche Back-End-Elemente zu markieren, die als fehlerhaft gelten. Der Standardintegritätstest wird automatisch für Back-Ends konfiguriert, die keine benutzerdefinierte Testkonfiguration aufweisen. Weitere Informationen finden Sie unter Systemüberwachung des Application Gateways.
Unterschiede zur v1-SKU
In diesem Abschnitt werden die Features und Einschränkungen der v2-SKU beschrieben, die sich von denen der v1-SKU unterscheiden.
| Unterschied | Details |
|---|---|
| Mischen von Standard_v2 und Standardanwendungsgateway in demselben Subnetz | Nicht unterstützt |
| Benutzerdefinierte Route im Application Gateway-Subnetz | Informationen zu unterstützten Szenarien finden Sie unter Application Gateway-Konfiguration: Übersicht. |
| NSG für Eingangsportbereich | - 65200 bis 65535 für Standard_v2-SKU - 65503 bis 65534 für Standard-SKU. Für v2-SKUs in der öffentlichen Vorschau nicht erforderlich. Weitere Informationen Weitere Informationen finden Sie in den häufig gestellten Fragen. |
| Leistungsprotokolle in Azure-Diagnose | Wird nicht unterstützt. Es sollten Azure-Metriken verwendet werden. |
| FIPS-Modus | Wird derzeit nicht unterstützt. |
| Privater Front-End-Konfigurationsmodus | Aktuell in der öffentlichen Vorschau verfügbar. Weitere Informationen |
| Pfadbasierte Regelcodierung | Wird nicht unterstützt. V2 decodiert Pfade vor dem Routing. Beispielsweise behandelt V2 /abc%2Fdef wie /abc/def. |
| Aufgeteilte Dateiübertragung | Deaktivieren Sie in der Standard_V2-Konfiguration die Anforderungspufferung, um die aufgeteilte Dateiübertragung zu unterstützen. In WAF_V2 ist das Deaktivieren der Anforderungspufferung nicht möglich, da die gesamte Anforderung untersucht werden muss, um Bedrohungen zu erkennen und zu blockieren. Daher besteht die vorgeschlagene Alternative darin, eine Pfadregel für die betroffene URL zu erstellen und eine deaktivierte WAF-Richtlinie an diese Pfadregel anzufügen. |
| Cookie-Affinität | Derzeit unterstützt V2 das Anfügen der Domäne in Sitzungsaffinitätssatz-Cookie nicht, was bedeutet, dass das Cookie nicht vom Client für die Unterdomänen verwendet werden kann. |
| Integration von Microsoft Defender für Cloud | Noch nicht verfügbar. |
Registrieren für die Vorschau
Führen Sie die folgenden Azure CLI-Befehle aus, um sich für die Vorschauversion der Application Gateway-Basic-SKU zu registrieren.
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Abmelden von der Registrierung für die Vorschauversion
So melden Sie sich von der Registrierung für die Public Preview der Basic-SKU ab
- Löschen Sie alle Instanzen der Application Gateway-Basic-SKU aus Ihrem Abonnement.
- Führen Sie über die Azure-Befehlszeilenschnittstelle folgende Befehle aus:
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Nächste Schritte
Je nach Ihren Anforderungen und der vorhandenen Umgebung können Sie eine Application Gateway-Testinstanz über das Azure-Portal, mithilfe von Azure PowerShell oder unter Verwendung der Azure-Befehlszeilenschnittstelle erstellen.