10.Azure应用程序网关(上)

时间：2018-02-11 14:46:04 阅读：166 评论：0 收藏：0 [点我收藏+]

应用程序网关这个功能主要又分2个子功能，一个叫“标准应用程序网关”；一个叫“WEB应用程序防火墙（WAF）”。“WEB应用程序防火墙（WAF）”是基于“标准应用程序网关”的升级版。

Azure 应用程序网关是以服务形式提供应用程序传递控制的专用虚拟设备。提供七层的负载均衡功能。还提供其他第 7 层路由功能，包括传入流量的轮循机制分配、基于 Cookie 的会话相关性、基于 URL 路径的路由，以及在单个应用程序网关后面托管多个网站的能力。

Web 应用程序防火墙 (WAF) 也作为应用程序网关的一部分提供。为 Web 应用程序提供保护，帮助抵御常见 Web 漏洞和攻击。可以将应用程序网关配置为面向 Internet 的网关、仅内部网关或这两者的组合。

应用程序网关（包含2个子功能）主要功能如下：

Web 应用程序防火墙 - Azure 应用程序网关中的 Web 应用程序防火墙 (WAF) 保护 Web 应用程序免受基于 Web 的常见攻击，例如 SQL 注入、跨站点脚本攻击、会话劫持。
HTTP 负载均衡 - 应用程序网关提供轮循机制负载均衡。负载均衡在第 7 层完成，仅用于 HTTP(S) 流量。
基于 Cookie 的会话相关性 - 想要在同一后端保留用户会话时，此基于 Cookie 的会话相关性功能十分有用。借助受网关管理的 Cookie，应用程序网关能够将来自用户会话的后续流量转到同一后端进行处理。在会话状态是为用户会话而本地保存在后端服务器的情况下，此功能十分重要。
安全套接字层 (SSL) 卸载 - 此功能让 Web 服务器免于执行解密 HTTPS 流量的高成本任务。通过在应用程序网关终止 SSL 连接，并将请求转发到未加密的服务器，Web 服务器不用承担解密的负担。应用程序网关会重新加密响应，再将它发回客户端。在后端与 Azure 中的应用程序网关位于同一安全虚拟网络中的情况下，此功能十分有用。
端到端 SSL - 应用程序网关支持对流量进行端到端加密。应用程序网关通过在应用程序网关上终止 SSL 连接来完成此任务。网关随后将路由规则应用于流量、重新加密数据包，并根据定义的路由规则将数据包转发到适当的后端。来自 Web 服务器的任何响应都会经历相同的过程返回最终用户。
基于 URL 的内容路由 - 此功能能够使用不同的后端服务器来处理不同的流量。可以将 Web 服务器上某个文件夹的流量或 CDN 的流量路由到其他后端。对于不处理特定内容的后端，此功能可以减少其上的不必要负载。
多站点路由 - 应用程序网关允许在单个应用程序网关上合并最多 20 个网站。
WebSocket 支持 - 应用程序网关的另一个重要功能是对 WebSocket 的本机支持。
运行状况监视 - 应用程序网关提供默认的后端资源运行状况监视，以及用于监视更多特定方案的自定义探测。
SSL 策略和密码 - 此功能可以限制受支持的 SSL 协议版本和密码套件，以及其处理顺序。
请求重定向 - 使用此功能可将 HTTP 请求重定向到 HTTPS 侦听器。
多租户后端支持 - 应用程序网关支持将多租户后端服务（例如 Azure Web 应用和 API 网关）配置为后端池成员。
高级诊断 - 应用程序网关提供完整的诊断和访问日志。防火墙日志可用于已启用 WAF 的应用程序网关资源。

我先介绍标准应用程序网关，架构如下：