Nội dung bài viết
Azure Application Gateway là gì?
Azure Application Gateway là bộ cân bằng tải lưu lượng truy cập web (lớp 7 OSI) cho phép người dùng quản lý lưu lượng truy cập vào các ứng dụng web. Bộ cân bằng tải truyền thống hoạt động ở lớp vận chuyển (lớp OSI 4 – TCP và UDP) và định tuyến lưu lượng truy cập dựa trên địa chỉ IP nguồn và cổng tới địa chỉ IP và cổng đích.
Cổng ứng dụng có thể đưa ra quyết định định tuyến dựa trên các thuộc tính bổ sung của yêu cầu HTTP, ví dụ như đường dẫn URI hoặc tiêu đề máy chủ. Một ví dụ điển hình: Người dùng hoàn toàn có thể định tuyến lưu lượng truy cập dựa trên URL đến.
Vì vậy, nếu /images có trong URL đến, người dùng có thể định tuyến lưu lượng truy cập đến một nhóm máy chủ cụ thể (được gọi là nhóm) được định cấu hình cho hình ảnh. Nếu /video có trong URL thì lưu lượng truy cập đó sẽ được chuyển đến một nhóm khác được tối ưu hóa cho video. Dưới đây là Azure Application Gateway architecture để người dùng có thể dễ dàng hình dung:
15+ tính năng có trong Azure Application Gateway
Vai trò của Azure Application Gateway được đánh giá rất cao đối với hệ thống phần mềm của Microsoft 365. Bởi vậy, chúng tôi muốn chia sẻ với người dùng một số những tính năng từ cơ bản đến nâng cao mà nền tảng này đang sở hữu.
Chấm dứt Secure Sockets Layer (SSL/TLS)
Azure Application Gateway hỗ trợ chấm dứt SSL/TLS tại cổng, sau đó lưu lượng truy cập thường không được mã hóa đến các máy chủ phụ trợ. Tính năng này cho phép các máy chủ web không phải chịu ảnh hưởng nặng về chi phí mã hóa và giải mã tốn kém. Nhưng đôi khi giao tiếp không được mã hóa tới máy chủ không phải là một lựa chọn có thể chấp nhận được. Điều này có thể là do yêu cầu bảo mật, yêu cầu tuân thủ hoặc ứng dụng có thể chỉ chấp nhận kết nối an toàn. Đối với các ứng dụng này, cổng ứng dụng hỗ trợ mã hóa SSL/TLS từ đầu đến cuối.
Autoscaling
Azure Application Gateway Standard_v2 hỗ trợ tự động thay đổi quy mô và có thể tăng hoặc giảm quy mô dựa trên việc thay đổi kiểu tải lưu lượng truy cập. Tính năng này tự động thay đổi quy mô cũng loại bỏ yêu cầu chọn quy mô triển khai hoặc số lượng phiên bản trong quá trình cung cấp.
Zone redundancy
Khi đó, Azure Application Gateway Standard_v2 có thể trải rộng trên nhiều vùng khác nhau. Đồng thời tính năng này sẽ mang lại khả năng phục hồi lỗi tốt hơn và loại bỏ nhu cầu cung cấp các Cổng ứng dụng riêng biệt trong từng vùng.
Static VIP
SKU của Azure Application Gateway Standard_v2 chỉ hỗ trợ đối với loại VIP tĩnh. Điều này đảm bảo rằng VIP được liên kết với cổng ứng dụng không thay đổi ngay cả trong suốt thời gian tồn tại của Cổng ứng dụng.
Web Application Firewall
Tường lửa ứng dụng web (WAF) trong Azure Application Gateway là một dịch vụ cung cấp khả năng bảo vệ tập trung cho các ứng dụng web của bạn khỏi các hoạt động khai thác và lỗ hổng phổ biến. WAF dựa trên các quy tắc từ bộ quy tắc cốt lõi của OWASP (Dự án bảo mật ứng dụng web mở) 3.1 (chỉ WAF_v2), 3.0 và 2.2.9.
Lúc này, các ứng dụng web ngày càng trở thành mục tiêu của các cuộc tấn công độc hại khai thác các lỗ hổng phổ biến đã biết. Phổ biến trong số các cách khai thác này là các cuộc tấn công SQL SQL, các cuộc tấn công kịch bản chéo trang, v.v. Việc ngăn chặn cuộc tấn công như trên sẽ là một trong những thách thức lớn có thể yêu cầu bảo trì, vá lỗi và giám sát nghiêm ngặt ở nhiều lớp cấu trúc liên kết ứng dụng.
Tường lửa ứng dụng web tập trung giúp quản lý bảo mật đơn giản hơn nhiều và mang lại sự đảm bảo tốt hơn cho quản trị viên ứng dụng trước các mối đe dọa hoặc sự xâm nhập. Giải pháp WAF cũng có thể phản ứng với mối đe dọa bảo mật nhanh hơn bằng cách vá lỗ hổng đã biết ở vị trí trung tâm thay vì bảo mật từng ứng dụng web riêng lẻ.
Ingress Controller for AKS
Bộ điều khiển xâm nhập cổng ứng dụng (AGIC) cho phép bạn sử dụng Azure Application Gateway làm đầu vào cho cụm Dịch vụ Azure Kubernetes (AKS). Khi đó, bộ điều khiển xâm nhập chạy dưới dạng một nhóm trong cụm AKS và sử dụng tài nguyên xâm nhập Kubernetes rồi chuyển đổi chúng thành cấu hình Cổng ứng dụng, cho phép cổng cân bằng tải lưu lượng đến các nhóm Kubernetes. Bộ điều khiển xâm nhập chỉ hỗ trợ SKU Cổng ứng dụng Standard_v2 và WAF_v2.
URL-based routing
Định tuyến dựa trên đường dẫn URL cho phép người dùng định tuyến lưu lượng truy cập đến nhóm máy chủ phụ trợ dựa trên đường dẫn URL của yêu cầu. Một trong những tình huống là định tuyến yêu cầu cho các loại nội dung khác nhau tới nhóm khác nhau. Đây được xem là một trong những tính năng được ứng dụng hiệu quả trên Azure Application Gateway.
Multiple-site hosting
Với Azure Application Gateway, người dùng có thể định cấu hình định tuyến dựa trên tên máy chủ hoặc tên miền cho nhiều ứng dụng web ở cùng một cổng ứng dụng. Nó cho phép người dùng định cấu hình cấu trúc liên kết hiệu quả hơn cho việc triển khai của mình bằng cách thêm hơn 100 trang web vào một cổng ứng dụng. Mỗi trang web có thể được chuyển hướng đến nhóm phụ trợ riêng của nó.
Redirection
Azure Application Gateway hỗ trợ khả năng chuyển hướng lưu lượng truy cập giúp đơn giản hóa cấu hình ứng dụng, tối ưu hóa việc sử dụng tài nguyên và hỗ trợ các kịch bản chuyển hướng mới. Lúc này, kịch bản chuyển thướng sẽ bao gồm chuyển hướng toàn cầu và chuyển hướng dựa trên đường dẫn. Hỗ trợ chuyển hướng Cổng ứng dụng không chỉ giới hạn ở chuyển hướng HTTP sang HTTPS.
Hỗ trợ chuyển hướng Azure Application Gateway cung cấp các khả năng sau:
- Chuyển hướng toàn cầu từ cổng này sang cổng khác trên cổng như chuyển hướng HTTP sang HTTPS trên một trang web.
- Chuyển hướng dựa trên đường dẫn chỉ cho phép chuyển hướng HTTP sang HTTPS trên một khu vực trang web cụ thể.
- Khả năng chuyển hướng đến một trong những trang web thuộc bên ngoài.
Session affinity
Tính năng này có sẵn trong Azure Application Gateway để đồng cảm phiên dựa trên cookie rất hữu ích khi người dùng muốn giữ phiên xem trên cùng một máy chủ. Bằng cách sử dụng cookie do cổng quản lý, cổng ứng dụng có thể hướng lưu lượng truy cập tiếp theo từ phiên người dùng đến cùng một máy chủ để xử lý. Điều này rất quan trọng trong trường hợp trạng thái phiên được lưu cục bộ trên máy chủ cho phiên người dùng.
Websocket and HTTP/2 traffic
Azure Application Gateway cung cấp hỗ trợ riêng cho giao thức WebSocket và HTTP/2. Không có cài đặt nào do người dùng định cấu hình để bật hoặc tắt có chọn lọc hỗ trợ WebSocket. Hơn nữa, giao thức WebSocket và HTTP/2 cho phép giao tiếp song công hoàn toàn giữa máy chủ và máy khách qua kết nối TCP chạy dài. Điều này cho phép giao tiếp mang tính tương tác cao hơn giữa máy chủ web và máy khách, có thể thực hiện hai chiều mà không cần thăm dò ý kiến như yêu cầu trong quá trình triển khai dựa trên HTTP.
Connection draining
Tính năng thoát kết nối trong Azure Application Gateway giúp người dùng loại bỏ nhẹ nhàng các thành viên nhóm phụ trợ trong quá trình cập nhật dịch vụ theo kế hoạch hoặc các vấn đề về tình trạng phụ trợ. Cài đặt này được bật thông qua Cài đặt phụ trợ và được áp dụng cho tất cả các thành viên nhóm phụ trợ trong quá trình tạo quy tắc.
Sau khi được bật, cổng ứng dụng sẽ đảm bảo tất cả các phiên bản hủy đăng ký của nhóm phụ trợ không nhận được bất kỳ yêu cầu mới nào trong khi vẫn cho phép các yêu cầu hiện có hoàn thành trong giới hạn thời gian đã định cấu hình. Nó áp dụng cho các trường hợp phiên bản phụ trợ là:
- Bị xóa rõ ràng khỏi nhóm phụ trợ sau khi người dùng thay đổi cấu hình.
- Được báo cáo là không lành mạnh bởi các cuộc thăm dò sức khỏe, hoặc được loại bỏ trong quá trình vận hành mở rộng quy mô.
- Ngoại lệ duy nhất là khi các yêu cầu tiếp tục được ủy quyền cho các phiên bản hủy đăng ký do mối quan hệ giữa phiên do cổng quản lý.
Việc thoát kết nối cũng được thực hiện đối với các kết nối WebSocket. Việc rút kết nối được thực hiện cho mỗi lần cập nhật cổng. Để tránh mất kết nối với các thành viên hiện có của nhóm phụ trợ, hãy đảm bảo bật tính năng thoát kết nối trên Azure Application Gateway.
Custom error pages
Azure Application Gateway cho phép người dùng có thể tạo các trang lỗi tùy chỉnh thay vì hiển thị các trang lỗi mặc định. Khi đó, người dùng cũng có thể sử dụng nhãn hiệu và bố cục của riêng mình bằng cách sử dụng trang lỗi tùy chỉnh.
Rewrite HTTP headers and URL
Tiêu đề HTTP là tính năng trong Azure Application Gateway cho phép máy khách và máy chủ chuyển thông tin bổ sung cùng với yêu cầu hoặc phản hồi. Viết lại các tiêu đề HTTP này giúp người dùng hoàn thành một số tình huống quan trọng, chẳng hạn như:
- Thêm các trường tiêu đề liên quan đến bảo mật như HSTS/X-XSS-Protection.
- Xóa các trường tiêu đề phản hồi có thể tiết lộ thông tin nhạy cảm.
- Loại bỏ thông tin cổng khỏi tiêu đề X-Forwarded-For.
Azure Application Gateway và SKU WAF v2 hỗ trợ khả năng thêm, xóa hoặc cập nhật các tiêu đề phản hồi và yêu cầu HTTP, trong khi các gói yêu cầu và phản hồi di chuyển giữa máy khách và nhóm phụ trợ. Người dùng cũng có thể viết lại URL, tham số chuỗi truy vấn và tên máy chủ. Với tính năng ghi lại URL và định tuyến dựa trên đường dẫn URL, người dùng có thể chọn định tuyến các yêu cầu đến một trong các nhóm phụ trợ dựa trên đường dẫn ban đầu hoặc đường dẫn được viết lại bằng cách sử dụng tùy chọn đánh giá lại bản đồ đường dẫn.
Sizing
Azure Application Gateway Standard_v2 có thể được cấu hình để tự động thay đổi quy mô hoặc triển khai với kích thước cố định. SKU v2 không cung cấp các kích cỡ phiên bản khác nhau. Để biết thêm thông tin về hiệu suất và giá cả của v2, hãy xem Tự động điều chỉnh quy mô V2 và Tìm hiểu về giá cả .
Tiêu chuẩn cổng ứng dụng (v1) được cung cấp ở ba kích cỡ: Nhỏ, Trung bình và Lớn . Kích thước phiên bản nhỏ dành cho các kịch bản phát triển và thử nghiệm. Bảng sau đây thể hiện thông lượng hiệu suất trung bình cho mỗi phiên bản cổng ứng dụng v1 có bật tính năng giảm tải SSL:
Đoạn kết
Trên đây là những chia sẻ của MSO để người dùng hiểu rõ hơn về Azure Application Gateway. Nếu người dùng có yêu cầu nào cần được hỗ trợ vui lòng gửi qua số Hotline 024.9999.7777.