什麼是 Azure 應用程式閘道 v2?
應用程式閘道 v2 是最新版的應用程式閘道。 它提供相較於應用程式閘道 v1 的優點,例如效能增強、自動調整、區域備援和靜態 VIP。
重要
我們已於 2023 年 4 月 28 日宣佈淘汰應用程式閘道 V1。 如果您使用應用程式閘道 V1 SKU,請立即開始規劃移轉至 V2,並在 2026 年 4 月 28 日前完成移轉至應用程式閘道 v2。 此日期之後不支援 v1 服務。
主要功能
v2 SKU 包含下列增強功能:
TCP/TLS Proxy (預覽):Azure 應用程式閘道現在也支援第 4 層 (TCP 通訊協定) 和 TLS (傳輸層安全性) Proxy 處理。 此功能目前處於公開預覽。 如需詳細資訊,請參閱應用程式閘道 TCP/TLS Proxy 概觀。
自動調整:依據自動調整 SKU 提供的應用程式閘道或 WAF 部署,可以根據變動的流量負載模式而擴增或縮減。 自動調整規模也可讓您在佈建時,無須選擇部署大小或執行個體計數。 此 SKU 可提供真正的靈活彈性。 在 Standard_v2 和 WAF_v2 SKU 中,「應用程式閘道」可在固定容量 (停用自動調整) 模式下運作,也可在啟用自動調整模式下運作。 固定容量模式適用於工作負載一致且可預測的案例。 自動調整模式則有利於在應用程式流量中可看到變異的應用程式。
區域備援:應用程式閘道或 WAF 部署可以跨多個可用性區域,而不需要使用「流量管理員」以在每個區域中佈建個別「應用程式閘道」執行個體。 您可選擇已部署「應用程式閘道」執行個體的單一或多個區域,以便更能在區域失敗後復原。 應用程式的後端集區可以均等分散在可用性區域間。
區域備援僅適用於 Azure 可用性區域可用的地方。 在其他區域中,則支援所有其他功能。 如需詳細資訊,請參閱具有可用性區域支援的 Azure 區域。
靜態 VIP:應用程式閘道 v2 SKU 獨家支援靜態 VIP 類型。 靜態 VIP 可確保與應用程式閘道建立關聯的 VIP 即使在重新啟動之後,在部署的存留期間也不會變更。 您必須使用應用程式閘道 URL,讓網域名稱透過應用程式閘道路由至應用程式服務,因為 v1 沒有靜態 VIP。
標頭重寫:應用程式閘道可供使用 v2 SKU 來新增、移除或更新 HTTP 要求和回應標頭。 如需詳細資訊,請參閱使用應用程式閘道來重寫 HTTP 標題
金鑰保存庫整合:針對連結至已啟用 HTTPS 的接聽程式的伺服器憑證,應用程式閘道 v2 支援與金鑰保存庫整合。 如需詳細資訊,請參閱使用 Key Vault 憑證終止 TLS。
相互驗證 (mTLS):應用程式閘道 v2 支援用戶端要求的驗證。 如需詳細資訊,請參閱應用程式閘道的相互驗證概觀。
Azure Kubernetes Service 輸入控制器:應用程式閘道 v2 輸入控制器可讓 Azure 應用程式閘道用作 Azure Kubernetes Service (AKS) 輸入,稱為 AKS 叢集。 如需詳細資訊,請參閱什麼是應用程式閘道輸入控制器。
私人連結:v2 SKU 透過使用私人端點,以從其他區域和訂用帳戶中的其他虛擬網路提供私人連線。
效能增強:相較於標準/WAF SKU,v2 SKU 提供最多 5 倍的 TLS 卸載效能提升。
更快的部署和更新速度:與標準/WAF SKU 相比,v2 SKU 提供更快的部署和更新速度。 較快的時間也包含 WAF 設定變更。
注意
此處所列的一些功能取決於 SKU 類型。
SKU 類型
應用程式閘道 v2 可在兩個 SKU 下取得:
- 基本 (預覽):基本 SKU 是專為流量且 SLA 需求較低,且不需要進階流量管理功能的應用程式所設計。 如需如何註冊應用程式閘道基本 SKU 公開預覽的資訊,請參閱註冊預覽。
- Standard_v2 SKU:Standard_v2 SKU 是專為執行生產工作負載和高流量而設計。 它也包含自動調整,其可自動調整執行個體數目以符合您的流量需求。
下表顯示基本與 Standard_v2 之間的比較。
| 功能 | 功能 | 基本 SKU (預覽) | 標準 SKU |
|---|---|---|---|
| 可靠性 | SLA | 99.9 | 99.95 |
| 功能 - 基本 | HTTP/HTTP2/HTTPS WebSocket 公用/私用 IP Cookie 親和性 路徑型親和性 萬用字元 多站台 KeyVault 區域 標頭重寫 |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ |
| 功能 - 進階 | AKS (透過 AGIC) URL 重寫 mTLS 私人連結 只限私人版 (預覽版) TCP/TLS Proxy (預覽) |
✓ ✓ ✓ ✓ ✓ ✓ |
|
| 調整 | 最大值。 每秒連線數 接聽程式數目 後端集區數目 每個集區的後端伺服器數目 規則數目 |
2001 5 5 5 5 |
625001 100 100 1200 400 |
| 容量單位 | 每一計算單位每秒的連線數 輸送量 持續的新連線 |
10 2.22 Mbps 2500 |
50 2.22 Mbps 2500 |
1根據使用 RSA 2048 位元金鑰 TLS 憑證而估計。
定價
使用 v2 SKU,使用量會推動價格模式,且不再連結至執行個體計數或大小。 若要深入了解,請參閱瞭解價格。
不支援的區域
下列區域中目前無法使用 Standard_v2 和 WAF_v2 SKU:
- 中國東部
- 中國北部
- US DoD 東部
- 美國國防部中央
從 v1 遷移至 v2
PowerShell 資源庫中有提供 Azure PowerShell 指令碼,可協助從 v1 應用程式閘道/WAF 遷移至 v2 自動調整 SKU。 此指令碼可協助從 v1 閘道複製設定。 流量遷移仍是您的責任。 如需詳細資訊,請參閱將 Azure 應用程式閘道從 v1 遷移至 v2。
v1 SKU 與 v2 SKU 之間的功能比較
下表將比較各個 SKU 的可用功能。
| 功能 | v1 SKU | v2 SKU |
|---|---|---|
| 自動調整規模 | ✓ | |
| 區域備援 | ✓ | |
| 靜態 VIP | ✓ | |
| Azure Kubernetes Service (AKS) 輸入控制器 | ✓ | |
| Azure Key Vault 整合 | ✓ | |
| 重寫 HTTP(S) 標頭 | ✓ | |
| 增強型網路控制 (NSG、路由表、僅限私人 IP 前端) | ✓ | |
| URL 型路由 | ✓ | ✓ |
| 多網站裝載 | ✓ | ✓ |
| 相互驗證 (mTLS) | ✓ | |
| Private Link 支援 | ✓ | |
| 流量重新導向 | ✓ | ✓ |
| Web Application Firewall (WAF) | ✓ | ✓ |
| WAF 自訂規則 | ✓ | |
| WAF 原則關聯 | ✓ | |
| 傳輸層安全性 (TLS)/安全通訊端層 (SSL) 終止 | ✓ | ✓ |
| 端對端 TLS 加密 | ✓ | ✓ |
| 工作階段親和性 | ✓ | ✓ |
| 自訂錯誤頁面 | ✓ | ✓ |
| WebSocket 支援 | ✓ | ✓ |
| HTTP/2 支援 | ✓ | ✓ |
| 清空連線 | ✓ | ✓ |
| Proxy NTLM 驗證 | ✓ | |
| 路徑型規則編碼 | ✓ | |
| DHE 加密 | ✓ |
注意
自動調整 v2 SKU 現在支援預設健全狀態探查,以自動監視其後端集區中所有資源的健康情況,並突顯狀況不良的後端成員。 預設健康狀態探查會針對沒有任何自訂探查設定的後端自動設定。 若要深入了解,請參閱應用程式閘道中的健康狀態探查。
與 v1 SKU 的差異
本節描述 v2 SKU 與 v1 SKU 不同的功能和限制。
| 差數 | 詳細資料 |
|---|---|
| 在相同子網路上混合使用 Standard_v2 和標準應用程式閘道 | 不支援 |
| 應用程式閘道子網路上的使用者定義路由 (UDR) | 如需支援情節的相關資訊,請參閱應用程式閘道設定概觀。 |
| 輸入連接埠範圍的 NSG | - Standard_v2 SKU 適用 65200 至 65535 - 標準 SKU 適用 65503 至 65534 在公開預覽版中,v2 SKU 不需要 深入了解。 如需詳細資訊,請參閱常見問題集。 |
| Azure 診斷中的效能記錄 | 不支援。 應該使用 Azure 計量。 |
| FIPS 模式 | 目前不支援。 |
| 僅限私人前端設定模式 | 目前處於公開預覽狀態 深入了解。 |
| 路徑型規則編碼 | 不支援。 V2 會在路由之前解譯路徑。 例如,V2 會將 /abc%2Fdef 視為與 /abc/def 相同。 |
| 區塊檔案傳輸 | 在 Standard_V2 設定中,關閉要求緩衝以支援區塊檔案傳輸。 在 WAF_V2 中,無法關閉要求緩衝,因為它必須查看整個要求來偵測和封鎖任何威脅。 因此,建議的替代方法是針對受影響的 URL 建立路徑規則,並將已停用的 WAF 原則連結至該路徑規則。 |
| Cookie 親和性 | 目前的 V2 不支援在工作階段親和性 Set-Cookie 中附加網域,這表示用戶端無法將 Cookie 用於子網域。 |
| 適用於雲端的 Microsoft Defender 整合 | 尚未提供。 |
註冊預覽
執行下列 Azure CLI 命令來註冊應用程式閘道基本 SKU 的預覽。
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Register-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
取消註冊預覽
若要從基本 SKU 的公開預覽取消註冊:
- 從您的訂用帳戶中刪除應用程式閘道基本 SKU 的所有執行個體。
- 執行下列 Azure CLI 命令:
Set-AzContext -Subscription "<your subscription ID>"
Get-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace "Microsoft.Network"
Unregister-AzProviderFeature -FeatureName AllowApplicationGatewayBasicSku -ProviderNamespace Microsoft.Network
下一步
視需求和環境而定,您可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI 來建立測試應用程式閘道。