O que é o Azure Application Gateway v2?
O Application Gateway v2 é a versão mais recente do Application Gateway. Ele oferece vantagens em relação ao Application Gateway v1, como aprimoramentos de desempenho, dimensionamento automático, redundância de zona e VIPs estáticos.
Importante
A substituição do Application Gateway V1 foi anunciada em 28 de abril de 2023. Se você usa o Application Gateway V1 SKU, comece a planejar sua migração para V2 agora e conclua sua migração para o Application Gateway v2 até 28 de abril de 2026. O serviço v1 não é suportado após esta data.
Capacidades chave
O SKU v2 inclui os seguintes aprimoramentos:
Proxy TCP/TLS (Pré-visualização): o Gateway de Aplicação do Azure agora também suporta proxy de Camada 4 (protocolo TCP) e TLS (Transport Layer Security). Esta funcionalidade está atualmente em pré-visualização pública. Para obter mais informações, consulte Visão geral do proxy TCP/TLS do Application Gateway.
Dimensionamento automático: as implantações do Application Gateway ou WAF sob o SKU de dimensionamento automático podem ser dimensionadas ou aumentadas com base na alteração dos padrões de carga de tráfego. O dimensionamento automático também elimina o requisito de escolher um tamanho de implementação ou uma contagem de instâncias ou durante o aprovisionamento. Este SKU oferece uma verdadeira elasticidade. No SKU Standard_v2 e WAF_v2, o Gateway de Aplicação pode operar no modo de capacidade fixa (dimensionamento automático desativado) e de dimensionamento automático ativado. O modo de capacidade fixa é útil para cenários com cargas de trabalho consistentes e previsíveis. O modo de dimensionamento automático é benéfico em aplicações com variação no tráfego da aplicação.
Redundância de zona: uma implantação do Application Gateway ou WAF pode abranger várias zonas de disponibilidade, eliminando a necessidade de provisionar instâncias separadas do Application Gateway em cada zona com um Gerenciador de Tráfego. Você pode escolher uma única zona ou várias zonas onde as instâncias do Application Gateway são implantadas, o que o torna mais resiliente a falhas de zona. O pool de back-end para aplicativos pode ser distribuído de forma semelhante entre zonas de disponibilidade.
A redundância de zona está disponível apenas onde as Zonas do Azure estão disponíveis. Em outras regiões, todos os outros recursos são suportados. Para obter mais informações, consulte Regiões e zonas de disponibilidade no Azure
VIP estático: O SKU do Application Gateway v2 suporta exclusivamente o tipo VIP estático. O VIP estático garante que o VIP associado ao gateway de aplicativos não seja alterado durante o ciclo de vida da implantação, mesmo após uma reinicialização. Você deve usar a URL do gateway de aplicativo para roteamento de nome de domínio para os Serviços de Aplicativo por meio do gateway de aplicativo, pois a v1 não tem um VIP estático.
Regravação de cabeçalho: o Application Gateway permite adicionar, remover ou atualizar cabeçalhos de solicitação e resposta HTTP com SKU v2. Para obter mais informações, consulte Reescrever cabeçalhos HTTP com o Application Gateway
Integração do Key Vault: o Application Gateway v2 suporta a integração com o Key Vault para certificados de servidor anexados a ouvintes habilitados para HTTPS. Para obter mais informações, veja Terminação TLS com certificados do Key Vault.
Autenticação mútua (mTLS): o Application Gateway v2 suporta a autenticação de solicitações de clientes. Para obter mais informações, consulte Visão geral da autenticação mútua com o Application Gateway.
Azure Kubernetes Service Ingress Controller: O Application Gateway v2 Ingress Controller permite que o Azure Application Gateway seja usado como a entrada para um Serviço Kubernetes do Azure (AKS) conhecido como AKS Cluster. Para obter mais informações, consulte O que é o Application Gateway Ingress Controller.
Link privado: O SKU v2 oferece conectividade privada de outras redes virtuais em outras regiões e assinaturas usando pontos de extremidade privados.
Melhorias de desempenho: O SKU v2 oferece um desempenho de descarregamento TLS até 5X melhor em comparação com o SKU Standard/WAF.
Implantação e tempo de atualização mais rápidos: O SKU v2 fornece implantação e tempo de atualização mais rápidos em comparação com o SKU Standard/WAF. O tempo mais rápido também inclui alterações na configuração do WAF.
Nota
Alguns dos recursos listados aqui dependem do tipo de SKU.
Tipos de SKU
O Application Gateway v2 está disponível em duas SKUs:
- Básico (visualização): O Basic SKU foi projetado para aplicativos que têm requisitos de tráfego e SLA mais baixos e não precisam de recursos avançados de gerenciamento de tráfego. Para obter informações sobre como se registrar para a visualização pública do Application Gateway Basic SKU, consulte Registrar para a visualização.
- Standard_v2 SKU: O Standard_v2 SKU foi projetado para executar cargas de trabalho de produção e alto tráfego. Ele também inclui dimensionamento automático, que pode ajustar automaticamente o número de instâncias para corresponder às suas necessidades de tráfego.
A tabela a seguir exibe uma comparação entre Basic e Standard_v2.
| Caraterística | Capacidades | SKU básico (visualização) | SKU Standard |
|---|---|---|---|
| Fiabilidade | SLA | 99,9 | 99,95 |
| Funcionalidade - básica | HTTP/HTTP2/HTTPS Websocket IP público/privado Afinidade de Cookies Afinidade baseada em caminhos Caráter universal Múltiplos sites KeyVault Zona Reescrita do cabeçalho |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
| Funcionalidade - avançada | AKS (via AGIC) Reescrever URL mTLS Private Link Apenas privado (pré-visualização) Proxy TCP/TLS (visualização) |
✓ ✓ ✓ ✓ ✓ ✓ |
|
| Escala | Máx. conexões por segundo Número de ouvintes Número de pools de back-end Número de servidores back-end por pool Número de regras |
2001 5 5 5 5 |
625001 100 100 1200 400 |
| Unidade de Capacidade | Conexões por segundo por unidade de computação Débito Novas conexões persistentes |
10 2,22 Mbps 2500 |
50 2,22 Mbps 2500 |
1 Estimado com base no uso de um certificado TLS de chave RSA de 2048 bits.
Preços
Com o SKU v2, o consumo impulsiona o modelo de preços e não é mais anexado a contagens ou tamanhos de instâncias. Para saber mais, consulte Noções básicas sobre preços.
Regiões não suportadas
Atualmente, as SKUs Standard_v2 e WAF_v2 não estão disponíveis nas seguintes regiões:
- Norte da China
- Norte da China
- DOD Leste dos EUA
- DOD Central dos EUA
Migrar do v1 para v2
Um script do Azure PowerShell está disponível na galeria do PowerShell para ajudá-lo a migrar do seu Gateway de Aplicativo v1/WAF para o SKU de Dimensionamento Automático v2. Este script ajuda você a copiar a configuração do seu gateway v1. A migração de tráfego ainda é sua responsabilidade. Para obter mais informações, consulte Migrar o Gateway de Aplicativo do Azure da v1 para a v2.
Comparação de recursos entre v1 SKU e v2 SKU
A tabela a seguir compara os recursos disponíveis com cada SKU.
| Caraterística | SKU v1 | v2 SKU |
|---|---|---|
| Dimensionamento automático | ✓ | |
| Redundância entre zonas | ✓ | |
| VIP estático | ✓ | |
| Controlador de ingresso do Serviço Kubernetes do Azure (AKS) | ✓ | |
| Integração do Cofre de Chaves do Azure | ✓ | |
| Reescrever cabeçalhos HTTP(S) | ✓ | |
| Controle de rede aprimorado (NSG, tabela de rotas, Frontend IP privado apenas) | ✓ | |
| Encaminhamento com base no URL | ✓ | ✓ |
| Alojamento de vários sites | ✓ | ✓ |
| Autenticação mútua (mTLS) | ✓ | |
| Suporte do Private Link | ✓ | |
| Redirecionamento de tráfego | ✓ | ✓ |
| Firewall de Aplicações Web (WAF) | ✓ | ✓ |
| Regras personalizadas de WAF | ✓ | |
| Associações políticas do WAF | ✓ | |
| Terminação TLS (Transport Layer Security)/SSL (Secure Sockets Layer) | ✓ | ✓ |
| Encriptação TLS ponto a ponto | ✓ | ✓ |
| Afinidade de sessão | ✓ | ✓ |
| Páginas de erros personalizadas | ✓ | ✓ |
| Suporte do WebSocket | ✓ | ✓ |
| Suporte HTTP/2 | ✓ | ✓ |
| Drenagem de ligação | ✓ | ✓ |
| Autenticação NTLM de proxy | ✓ | |
| Codificação de regras baseada em caminho | ✓ | |
| Cifras DHE | ✓ |
Nota
O SKU v2 de dimensionamento automático agora suporta testes de integridade padrão para monitorar automaticamente a integridade de todos os recursos em seu pool de back-end e destacar os membros de back-end que são considerados não íntegros. A sonda de integridade padrão é configurada automaticamente para back-ends que não têm nenhuma configuração de teste personalizada. Para saber mais, consulte Sondas de integridade no gateway de aplicativo.
Diferenças do SKU v1
Esta seção descreve os recursos e limitações do SKU v2 que diferem do SKU v1.
| Diferença | Detalhes |
|---|---|
| Misturando Standard_v2 e gateway de aplicativo padrão na mesma sub-rede | Não suportado |
| UDR (Rota Definida pelo Usuário) na sub-rede do Application Gateway | Para obter informações sobre cenários suportados, consulte Visão geral da configuração do Application Gateway. |
| NSG para intervalo de portas de entrada | - 65200 a 65535 para Standard_v2 SKU - 65503 a 65534 para SKU padrão. Não é necessário para SKUs v2 na pré-visualização pública Saiba mais. Para obter mais informações, consulte as FAQs. |
| Logs de desempenho no diagnóstico do Azure | Não suportado. As métricas do Azure devem ser usadas. |
| Modo FIPS | Não é atualmente suportado. |
| Modo apenas de configuração de frontend privado | Atualmente em pré-visualização pública Saiba mais. |
| Codificação de regras baseada em caminho | Não suportado. V2 decodifica caminhos antes do roteamento. Por exemplo, V2 trata /abc%2Fdef o mesmo que /abc/def. |
| Transferência de ficheiros Chunked | Na configuração Standard_V2, desative o buffer de solicitação para dar suporte à transferência de arquivos em partes. Além WAF_V2, desativar o buffer de solicitações não é possível porque ele precisa examinar toda a solicitação para detetar e bloquear quaisquer ameaças. Portanto, a alternativa sugerida é criar uma regra de caminho para a URL afetada e anexar uma política WAF desabilitada a essa regra de caminho. |
| Afinidade de Cookies | A V2 atual não suporta anexar o domínio no Set-Cookie de afinidade de sessão, o que significa que o cookie não pode ser usado pelo cliente para os subdomínios. |
| Integração com o Microsoft Defender for Cloud | Ainda não disponível. |
Registe-se para a pré-visualização
Execute os seguintes comandos da CLI do Azure para se registrar para a visualização da SKU Básica do Gateway de Aplicativo.
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Cancelar o registo da pré-visualização
Para cancelar o registro da visualização pública do Basic SKU:
- Exclua todas as instâncias do Application Gateway Basic SKU da sua assinatura.
- Execute os seguintes comandos da CLI do Azure:
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
Próximos passos
Dependendo de seus requisitos e ambiente, você pode criar um Gateway de Aplicativo de teste usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.