应用程序网关后端设置配置

Cookie-based affinity

Azure 应用程序网关使用网关托管 Cookie 来维护用户会话。 当用户将第一个请求发送到应用程序网关时，它会在响应中使用包含会话详细信息的哈希值设置一个相关性 cookie。 此过程使携带关联 Cookie 的后续请求能够路由到同一个后端服务器，从而保持连接的粘性。

当要在同一台服务器上保存用户会话时，以及在服务器上以本地方式为用户会话保存会话状态时，可以使用此功能。 如果应用程序无法处理基于 Cookie 的相关性，则你无法使用此功能。 若要使用此功能，请确保客户端支持 Cookie。

Chromium 浏览器v80 更新带来了一项强制性要求：必须将不包含 SameSite 属性的 HTTP Cookie 视为 SameSite=Lax。 对于 CORS（跨源资源共享）请求，如果必须在第三方上下文中发送 Cookie，它必须使用 SameSite=None; Secure 属性，并且只应通过 HTTPS 发送它。 否则，在仅限 HTTP 的方案中，浏览器不会在第三方上下文中发送 Cookie。 Chrome 的此更新的目标是增强安全性，避免跨站点请求伪造 (CSRF) 攻击。

为了支持此更改，从 2020 年 2 月 17 日开始，除了现有的 ApplicationGatewayAffinity Cookie 外，应用程序网关（所有 SKU 类型）还会注入另一个名为 ApplicationGatewayAffinityCORS 的 Cookie。 ApplicationGatewayAffinityCORS Cookie 又添加了两个属性 ("SameSite=None; Secure")，这样即使对于跨域请求也可以保持粘性会话。

默认相关性 Cookie 名称为 ApplicationGatewayAffinity ，你可以更改它。 如果在网络拓扑中，你​​在线部署了多个应用程序网关，则必须为每个资源设置唯一的 Cookie 名称。 如果使用自定义相关性 Cookie 名称，则会添加一个以 CORS 为后缀的附加 Cookie。 例如，CustomCookieNameCORS。

Connection draining

连接排出可帮助你在计划内服务更新期间正常移除后端池成员。 它应用到已从后端池中显式移除的后端实例。

可以通过在“后端设置”中启用“连接排出”来将此设置应用于所有后端池成员。 它确保后端池中的所有取消注册实例不会收到任何新的请求/连接，同时保持现有连接，直到达到配置的超时值。 对于 WebSocket 连接，此过程也是真实的。

此过程的唯一例外是由于网关管理的会话相关性而针对取消注册实例绑定的请求。 这些请求继续转发到取消注册实例。

Protocol

应用程序网关支持使用 HTTP 和 HTTPS 将请求路由到后端服务器。 如果选择了 HTTP 协议，则流量将以未加密的形式传送到后端服务器。 如果不能接受未加密的通信，请选择 HTTPS。

在侦听器中结合 HTTPS 使用此设置将有助于实现端到端的 TLS。 这样，就可以安全地将敏感数据以加密的形式传输到后端。 后端池中每个已启用端到端 TLS 的后端服务器都必须配置证书，以便能够进行安全的通信。

Port

此设置指定后端服务器要在哪个端口上侦听来自应用程序网关的流量。 可以配置 1 到 65535 的端口号。

受信任的根证书

在后端设置中选择 HTTPS 协议时，应用程序网关资源利用其默认的受信任根 CA 证书存储来验证后端服务器提供的证书的链和真实性。

默认情况下，应用程序网关资源包括常用的 CA 证书，允许在后端服务器证书由公共 CA 颁发时实现无缝后端 TLS 连接。 但是，如果打算使用专用 CA 或自生成的证书，则必须在此后端设置配置中提供相应的根 CA 证书（.cer）。

Request timeout

此设置表示应用程序网关在接收后端服务器的响应时会等待多少秒。 默认值为 20 秒。 但是，你可能希望根据应用程序的需求调整此设置。 可接受的值为 1 秒到 86400 秒（24 小时）。

替代后端路径

使用此设置可以配置可选的自定义转发路径，以便在将请求转发到后端时使用。 与“替代后端路径”字段中的自定义路径匹配的任意传入路径部分将复制到转发的路径。 下表描述了此功能的工作原理：

• 将 HTTP 设置附加到基本请求路由规则时：

  Original request	替代后端路径	请求被转发到后端
  /home/	/override/	/override/home/
  /home/secondhome/	/override/	/override/home/secondhome/

• 将 HTTP 设置附加到基于路径的请求路由规则时：

  Original request	Path rule	替代后端路径	请求被转发到后端
  /pathrule/home/	/pathrule*	/override/	/override/home/
  /pathrule/home/secondhome/	/pathrule*	/override/	/override/home/secondhome/
  /home/	/pathrule*	/override/	/override/home/
  /home/secondhome/	/pathrule*	/override/	/override/home/secondhome/
  /pathrule/home/	/pathrule/home*	/override/	/override/
  /pathrule/home/secondhome/	/pathrule/home*	/override/	/override/secondhome/
  /pathrule/	/pathrule/	/override/	/override/

使用自定义探测

此设置用于将自定义探测与某个 HTTP 设置相关联。 只能将一个自定义探测关联到某个 HTTP 设置。 如果未显式关联自定义探测，则会使用默认探测来监视后端的运行状况。 我们建议创建自定义探测，以便更好地控制后端的运行状况监视。

配置主机名

应用程序网关允许与后端建立的连接使用的主机名不同于客户端用来连接到应用程序网关的主机名。 尽管在某些情况下，此配置可能很有用，但在重写主机名时要小心，这样应用程序网关和客户端与后端目标之间就不同了。

在生产环境中，最佳做法是使用相同的主机名用于客户端与应用程序网关连接以及应用程序网关与后端目标连接。 此做法可避免绝对 URL、重定向 URL 和主机绑定 Cookie 出现潜在问题。

在设置偏离此配置的应用程序网关之前，请查看体系结构中心中更详细地讨论的此类配置的含义： 在反向代理与其后端 Web 应用程序之间保留原始 HTTP 主机名

HTTP 设置有两个方面会影响应用程序网关用来连接到后端的 Host HTTP 标头：

• 从后端地址中选取主机名
• 主机名替代

从后端地址中选取主机名

此功能将请求中的 host 标头动态设置为后端池的主机名。 主机名使用 IP 地址或 FQDN。

如果后端的域名不同于应用程序网关的 DNS 名称，并且后端必须使用特定的 host 标头才能解析为正确的终结点，则此功能会很有帮助。

例如，使用多租户服务作为后端时。 应用服务是一种多租户服务，它使用具有单个 IP 地址的共享空间。 因此，只能通过自定义域设置中配置的主机名访问应用服务。

自定义域名默认为 example.chinacloudsites.cn。 若要通过未显式注册到应用服务中的主机名或者通过应用程序网关的 FQDN 使用应用程序网关访问应用服务，可以将原始请求中的主机名替代为应用服务的主机名。 为此，请启用“从后端地址中选取主机名”设置。

对于其现有自定义 DNS 名称映射到应用服务的自定义域，建议的配置是不启用“从后端地址中选取主机名”。

主机名替代

此功能可将应用程序网关上的传入请求中的 host 标头替换为指定的主机名。

例如，如果在www.contoso.com主机名设置中指定，则当请求转发到后端服务器时，原始请求 *https://appgw.chinanorth2.chinacloudapp.cn/path1 将更改为 *https://www.contoso.com/path1 。

Port

此设置指定后端服务器要在哪个端口上侦听来自应用程序网关的流量。 可以配置 1 到 65535 的端口号。

Timeout

此设置是应用程序网关在关闭前端和后端连接之前等待的秒数，以防没有传输任何数据。 可接受的值为 1 秒到 86400 秒（24 小时）。

受信任的根证书

在后端设置中选择 TLS 协议时，应用程序网关资源利用其默认的受信任根 CA 证书存储来验证后端服务器提供的证书的链和真实性。

默认情况下，应用程序网关资源包括常用的 CA 证书，允许在后端服务器证书由公共 CA 颁发时实现无缝后端 TLS 连接。 但是，如果打算使用专用 CA 或自生成的证书，则必须在此后端设置配置中提供相应的根 CA 证书（.cer）。

SNI （服务器名称指示）

此配置仅适用于使用 TLS 协议的后端设置。 此处提供的 SNI 值在 TLS 握手期间传输到后端服务器。 后端服务器必须提供相应的证书。

使用自定义探测

此设置将 自定义探测 与后端设置相关联。 只能将一个自定义探测与后端设置相关联。 如果未显式关联自定义探测器，则默认探测器用于监控后端的健康状况。